← Alle Schadenbeispiele

TrickBot: Vom Banking-Trojaner zur Malware-Verteilplattform

von freeze4me.com · 2026-03-23
TrickBot Banking-Trojaner Ryuk Conti Malware-Plattform Botnet

TrickBot überlebt mehrere Abschaltversuche von Microsoft und dem US-Militär. Als Türöffner für Ryuk und Conti richtet er Milliardenschäden an.

Der Vorfall

TrickBot tauchte erstmals im Oktober 2016 auf – als scheinbar gewöhnlicher Banking-Trojaner, der Zugangsdaten für Online-Banking stahl. Sechs Jahre später, bei seiner endgültigen Abschaltung 2022, hatte er sich zur gefährlichsten Malware-Verteilplattform der Welt entwickelt. Über eine Million Geräte waren kompromittiert, der verursachte Gesamtschaden geht in die Milliarden.

Das Besondere an TrickBot: Er war nicht einfach ein Virus. Er war eine Infrastruktur. Ein modulares System, das von seinen Betreibern – der russischsprachigen Gruppe „Wizard Spider" – kontinuierlich weiterentwickelt und an andere Cyberkriminelle vermietet wurde. TrickBot war der Zulieferer der Unterwelt.

Im Oktober 2020 unternahmen Microsoft und das US Cyber Command gleichzeitig den Versuch, TrickBots Infrastruktur zu zerstören. Microsoft erwirkte eine gerichtliche Anordnung zur Übernahme der Command-and-Control-Server. Das US Cyber Command störte die Kommunikation zwischen den Bots und den Servern. Für einen kurzen Moment schien es zu funktionieren – doch innerhalb weniger Wochen hatten die Betreiber neue Server aufgesetzt und TrickBot war zurück.

Erst im Februar 2022, im Zuge des russischen Angriffs auf die Ukraine, zerbrach die TrickBot-Gruppe an internen Konflikten. Einige Mitglieder wechselten zur Conti-Ransomware-Gruppe, andere verschwanden. Doch die Technologie lebte weiter – in BazarLoader, in IcedID, in den Nachfolgeprodukten.

In den sechs Jahren seiner Aktivität war TrickBot der Türöffner für die verheerendsten Ransomware-Angriffe weltweit: Ryuk, Conti, Diavol. Jeder dritte große Ransomware-Vorfall zwischen 2018 und 2022 begann mit einer TrickBot-Infektion.

Wie der Angriff funktionierte

TrickBots Stärke lag in seiner Modularität und seiner Rolle als Mittelsmann in einer mehrstufigen Angriffskette:

Stufe 1 – Verteilung über Emotet oder Spam: TrickBot erreichte seine Opfer auf zwei Wegen. Der häufigste: als Payload, der von Emotet nachgeladen wurde. Emotet übernahm die initiale Infektion über seine berüchtigten Phishing-Mails mit Thread-Hijacking, und TrickBot wurde als nächste Stufe installiert. Alternativ verteilte sich TrickBot auch direkt über Spam-Mails mit verseuchten Anhängen oder über Exploit-Kits auf kompromittierten Webseiten.

Stufe 2 – Persistenz und Nachladen von Modulen: Nach der Installation richtete TrickBot umfangreiche Persistenzmechanismen ein: geplante Aufgaben, Registry-Einträge, Dienste. Er kontaktierte seine C2-Server und lud je nach Bedarf Module nach. Die modulare Architektur umfasste über 20 verschiedene Plugins:

  • pwgrab: Stahl Passwörter aus Browsern, Outlook, WinSCP und anderen Anwendungen
  • injectDll: Manipulierte Bankwebseiten in Echtzeit im Browser (Man-in-the-Browser-Angriff)
  • networkDll: Kartografierte das lokale Netzwerk und identifizierte Domain Controller
  • shareDll: Verbreitete TrickBot auf Netzwerkfreigaben
  • rdpScanDll: Suchte nach erreichbaren RDP-Diensten und führte Brute-Force-Angriffe durch
  • masrv: Nutzte EternalBlue zur Verbreitung im Netzwerk
  • tabDll: Extrahierte Active-Directory-Daten

Stufe 3 – Netzwerkaufklärung und Privilege Escalation: TrickBot sammelte systematisch Informationen über das Netzwerk: Welche Systeme gibt es? Wo sind die Domain Controller? Welche Administratorkonten existieren? Wie ist das Backup konfiguriert? Diese Daten wurden an die Angreifer übermittelt, die dann entschieden, ob und wie das Ziel weiter angegriffen werden sollte.

Stufe 4 – Übergabe an Ransomware-Operatoren: War das Ziel als lohnend eingestuft, wurde der Zugang an Ransomware-Affiliates verkauft oder übergeben. Diese nutzten TrickBots Backdoor, um sich manuell im Netzwerk zu bewegen, Backups zu löschen und schließlich Ryuk oder Conti auszurollen. TrickBot war der Makler – er lieferte den Zugang, andere kassierten das Lösegeld.

Warum Virenscanner versagten

TrickBot stellte Virenscanner vor unlösbare Probleme – und überlebte sogar koordinierte Abschaltversuche:

Modularer Aufbau: TrickBot selbst war ein relativ kleiner Loader. Die eigentliche Schadwirkung kam von den nachgeladenen Modulen. Selbst wenn ein Virenscanner den Loader erkannte und entfernte, waren die Module bereits installiert und liefen eigenständig weiter. Es reichte nicht, eine Datei zu löschen – man musste alle Komponenten finden.

Kryptische Updates: TrickBot aktualisierte sich selbst und seine Module regelmäßig. Jede neue Version hatte andere Hashwerte, andere Verschleierungstechniken, andere Dateinamen. Die Betreiber testeten jede Version gegen die gängigen Virenscanner und passten sie an, bis sie nicht mehr erkannt wurde.

Resilienz gegen Takedowns: Selbst Microsoft und das US Cyber Command – mit Gerichtsbeschlüssen, technischer Expertise und militärischen Ressourcen – schafften es nicht, TrickBot dauerhaft abzuschalten. Die Infrastruktur war dezentralisiert, die Betreiber hatten Backup-Server in verschiedenen Ländern. Wenn ein Virenscanner-Update TrickBot erkannte, war innerhalb von Tagen eine neue, unerkannte Version im Umlauf.

Legitime Tools als Tarnung: Viele TrickBot-Module nutzten Techniken, die auch von Systemadministratoren verwendet werden: Netzwerkscans, RDP-Verbindungen, Active-Directory-Abfragen. Für einen Virenscanner ist es nahezu unmöglich, diese Aktivitäten zuverlässig als schädlich zu klassifizieren, ohne den normalen IT-Betrieb zu stören.

Zeitvorteil der Angreifer: TrickBot wurde oft Wochen oder Monate vor dem eigentlichen Ransomware-Angriff installiert. In dieser Zeit hatten die Angreifer längst Administratorrechte erlangt und konnten Virenscanner gezielt manipulieren oder deaktivieren.

So hätte Deep Freeze geschützt

TrickBots gesamte Existenz basiert auf Persistenz – und genau diese verweigert Deep Freeze:

Der Loader überlebt keinen Neustart: TrickBot richtet geplante Aufgaben, Registry-Einträge und Dienste ein, um nach jedem Windows-Start automatisch zu laden. Deep Freeze setzt alle diese Änderungen beim Neustart zurück. Keine geplante Aufgabe, kein Registry-Eintrag, kein Dienst – TrickBot existiert nach dem Neustart schlicht nicht mehr.

Kein Modul kann persistieren: Die 20+ Module, die TrickBot nachlädt, werden auf der Systempartition gespeichert. pwgrab, networkDll, shareDll – alle werden als Dateien abgelegt und beim Systemstart geladen. Deep Freeze löscht jede dieser Dateien beim Neustart. Die gesamte modulare Architektur wird nutzlos.

Die Aufklärungsphase wird zerhackt: TrickBot braucht Tage oder Wochen, um ein Netzwerk zu kartografieren und Zugangsdaten zu sammeln. Wenn seine Tools auf den Arbeitsplatzrechnern täglich verschwinden, kann er keine durchgängige Aufklärung betreiben. Die gesammelten Daten gehen verloren, die Tools müssen neu installiert werden – aber auch das überlebt den nächsten Neustart nicht.

Die Übergabe an Ransomware scheitert: TrickBots Wert liegt darin, einen persistenten Zugang zum Netzwerk zu liefern, den Ransomware-Operatoren nutzen können. Wenn dieser Zugang bei jedem Neustart verschwindet, hat TrickBot nichts zu verkaufen. Die gesamte Geschäftskette Emotet → TrickBot → Ryuk/Conti bricht zusammen.

Resilienz statt Katz-und-Maus-Spiel: Während Microsoft und das US-Militär Millionen investierten, um TrickBots Server abzuschalten – und scheiterten –, hätte Deep Freeze das Problem auf jedem einzelnen geschützten Rechner gelöst. Keine Gerichtsbeschlüsse nötig, keine internationale Koordination. Nur ein Neustart.

Die Lehre

  • Malware-Plattformen sind gefährlicher als einzelne Viren. TrickBot war kein einzelner Angriff – er war die Infrastruktur für hunderte Angriffe. Deep Freeze neutralisiert die Plattform selbst, nicht nur einzelne Symptome.
  • Persistenz ist die Geschäftsgrundlage moderner Malware. TrickBot verkaufte persistenten Zugang an Ransomware-Gruppen. Ohne Persistenz kein Geschäftsmodell. Deep Freeze zerstört dieses Geschäftsmodell auf jedem geschützten Rechner.
  • Selbst Staaten können Botnets nicht dauerhaft abschalten. Microsoft und das US-Militär scheiterten. Deep Freeze löst das Problem lokal und zuverlässig – für jeden einzelnen Rechner, auf dem es installiert ist.
  • Modulare Malware braucht Speicherplatz. 20+ Module müssen irgendwo auf der Systempartition liegen. Deep Freeze gibt ihnen keinen dauerhaften Speicherplatz. Kein Modul überlebt einen Neustart.
  • Die Angriffskette hat viele Glieder – und jedes braucht Persistenz. Emotet braucht Persistenz, um TrickBot nachzuladen. TrickBot braucht Persistenz, um Module zu laden und Daten zu sammeln. Die Ransomware braucht Persistenz, um die Verschlüsselung abzuschließen. Deep Freeze bricht jedes einzelne Glied.

Nie wieder Opfer von Malware?

Deep Freeze macht Deinen PC immun gegen Viren, Ransomware und ungewollte Änderungen. Ein Neustart genügt.

So schützt Du Deinen PC →

← Alle Schadenbeispiele

Weitere Schadenbeispiele

Deep Freeze entdecken

Mehr erfahren →