I januar rapporterte digi.no at et av verdens farligste skadevareprogrammer – Emotet – var blitt tatt ned som følge av en storstilt, koordinert aksjon gjennomført av politimyndigheter i en rekke land. Allerede nå er en annen kandidat imidlertid i ferd med å overta plassen.
Sikkerhetsselskapet Check Point opplyser i sin seneste trusselrapport at en skadevare ved navn Trickbot for første gang har posisjonert seg på toppen av listen over trusler på nettet.
Mest utbredt for øyeblikket
Ifølge Check Points egen statistikk var Trickbot den mest utbredte skadevaren forrige måned og rammet 3 prosent av globale organisasjoner. I 2020 var skadevaren den fjerde største trusselen.
Trickbot har mange likheter med Emotet, først og fremst ved at den danner et botnett bestående av nettverk av infiserte maskiner som brukes til å utføre angrep i stor skala. I likhet med Emotet brukes skadevaren til å «leie» ut infiserte systemer til ondsinnede aktører for å sette dem til å utføre egne angrep.
Den er også fleksibel, konfigurerbar og stadig i endring, noe som gjør den velegnet til bruk i mange ulike typer angrep og vrien å stoppe. Den ble, som Emotet, opprinnelig oppdaget som en banktrojaner som siden har fått mange nye egenskaper.
Check Point peker på at Trickbot blant annet ble brukt i et av de mest kostbare angrepene i 2020. Det skjedde da Universal Health Services – et stort, amerikansk selskap som leverer helsetjenester – ble utsatt for et løsepengevirus som ble levert ved hjelp av Trickbot.
Det ble beregnet at angrepet kostet rundt 67 millioner dollar, cirka 570 millioner kroner.
– Trickbot er populær på grunn av allsidigheten og et rulleblad av mange suksessfulle angrep. Selv når en stor trussel fjernes er det mange andre som fortsetter å utgjøre en høy risiko på nettverk i hele verden, så organisasjoner må forsikre seg om at de har robuste sikkerhetssystemer på plass for å forhindre at nettverkene deres kompromitteres, skriver Check Point.
Ble forsøkt tatt ned av Microsoft
Trickbot har vært på IT-selskapenes radar i lengre tid. I oktober rapporterte Microsoft at de hadde gått til storaksjon mot botnettet med hjemmel i en rettsordre og i samarbeid med telekomselskaper over hele verden. Aksjonen innebar å avskjære viktig infrastruktur for å hindre nye infeksjoner og forhindre aktivering av løsepengevirus.
Trickbot skal ifølge Microsoft ha infisert over én million enheter siden 2016 og kommer blant annet med modulære egenskaper som gjør at den konstant utvikler seg og forbedres over tid. Den spres først og fremst gjennom phishing-angrep via e-post som tar sikte på å lure mottakerne til å klikke på ondsinnede lenker eller dokumenter.
Med tanke på at skadevaren fortsatt er en betydelig trussel spørs det hvor effektiv aksjonen var. Microsoft sa at de forventet at bakmennene ville forsøke å gjenopprette botnettets funksjonalitet, og at de ville fortsette å jobbe med partnerne sine for å overvåke situasjonen videre.
Farlig utpressingsvirus med ny egenskap: Sprer seg fra maskin til maskin på egen hånd