Die IT-Experten auf Angreiferseite agieren immer professioneller und damit im negativen Sinne nachhaltiger. Cybercrime-Administratoren bauen in ihre Botnetze umfassende fortschrittliche Netzwerktechnik ein und optimieren diese permanent. Ein Beispiel dafür ist der kontinuierliche Ausbau der Trickbot-Infrastruktur.
Sicherheitsfachleute dokumentierten das Trickbot-Netz zum ersten Mal im Oktober 2016. Die Malware entwickelte sich aus dem Dyre-Schadcode. Seitdem haben es die dahinterstehenden Akteure geschafft, mehrere Millionen PCs weltweit zu infizieren. Das im Laufe der Zeit ausgebaute Schadensrepertoire des ursprünglichen Banktrojaners, der zunächst vor allem Zugangsdaten ausspionieren wollte, beeindruckt: Zunächst attackierten die Angreifer PayPal, doch zum Diebstahl von Finanzdaten kamen schon bald andere Schadmöglichkeiten hinzu. Zu ihren nächsten Zielen gehörten CRM-Systeme. Mit dem Botnetz verschafften sich die Angreifer dann PIN-Codes für Nutzerkonten bei Telekommunikationsunternehmen, OpenSSH- und OpenVPN-Keys oder Zugangsdaten des Active Directorys. Mit Trickbot umgingen Hacker die Zwei-Faktor-Authentifizierung von Android oder installierten die Ryuk-Ransomware. Seit internationale Strafverfolger Emotet im Januar dieses Jahres zerschlagen haben, ist Trickbot zu einem der beliebtesten Angriffsnetzwerke avanciert.
Das Design der Trickbot-Malware basiert auf modularen Plug-ins und ermöglicht einen ständigen Ausbau der Funktionalität. Jedes neue Modul verfügt über eine eigene Konfigurationsdatei, sodass die einzelnen Elemente voneinander unabhängig sind. Zugleich haben die Trickbot-Akteure in den letzten fünf Jahren ein regelrechtes Ökosystem aus Plug-in-Modulen und ergänzenden Komponenten aufgebaut.