Key Takeaways
- Sicherheitsexperten haben eine neue Malware entdeckt, die mit dem Internet verbundene Geräte wie Router und Sicherheitskameras angreift, um sie in ein Botnet einzubinden.
- Malware-Autoren suchen immer nach Möglichkeiten, in internetexponierte Geräte einzubrechen, um sie für alle möglichen schändlichen Zwecke zu verwenden, warnen Experten.
-
Experten schlagen vor, dass Menschen solche Angriffe vereiteln können, indem sie unverzüglich Sicherheitspatches installieren und vollständig aktualisierte Antimalware-Produkte verwenden.
Die Explosion von unüberwachten Plug-in-and-Forget-Smart-Geräten mit Internetverbindung gefährdet nicht nur ihre Besitzer, sondern könnte auch dazu verwendet werden, beliebte Websites und Dienste lahmzulegen.
Forscher haben kürzlich einen neuen Malware-Stamm entdeckt, der Sicherheitslücken in mehreren Routern angreift. Nach der Infektion werden die kompromittierten Router in bösartige Botnets eingebunden, die Cyberkriminelle verwenden, um eine Website oder einen Online-Dienst mit Junk-Traffic anzugreifen und sie außer Betrieb zu setzen. Dies wird im Fachjargon der Cybersicherheit als Distributed-Denial-of-Service-Angriff (DDoS) bezeichnet.
"Leider gibt es viel zu viele schlecht geschützte Systeme, die leicht für diese Angriffe kooptiert werden können", sagte Ryan Thomas, VP of Product Management beim Anbieter von Cybersicherheitslösungen LogicHub, gegenüber Lifewire per E-Mail. "Der Schlüssel für Endbenutzer ist, nicht eines dieser einfachen Ziele zu sein."
Wir sind die Borg
Forscher des Cybersicherheitsunternehmens Fortinet stießen auf eine neue Variante einer beliebten Botnet-Roping-Malware, die neue Tricks gelernt hatte, um Consumer-Router zu assimilieren. Ihren Beobachtungen zufolge haben die Bösewichte hinter dem Botnet Beastmode (alias B3astmode) „sein Arsenal an Exploits aggressiv aktualisiert“und insgesamt fünf neue Exploits hinzugefügt, von denen drei Schwachstellen in den Totolink-Routern angreifen.
Bemerkenswerterweise kam diese Entwicklung kurz nachdem Totolink Firmware-Updates veröffentlicht hatte, um die drei Schwachstellen mit kritischem Schweregrad zu beheben. Während also die Sicherheitslücken gepatcht wurden, setzen die Angreifer darauf, dass sich viele Benutzer Zeit nehmen, bevor sie die Firmware auf ihren Geräten aktualisieren, und manche tun dies nie.
Das Beastmode-Botnet entlehnt seinen Code dem sehr potenten Mirai-Botnet. Vor ihrer Verhaftung im Jahr 2018 hatten die Mirai-Botnet-Betreiber den Code ihres tödlichen Botnets als Open Source veröffentlicht, sodass andere Cyberkriminelle wie Beastmode ihn kopieren und neue Funktionen einführen konnten, um mehr Geräte auszunutzen.
Laut Fortinet zielt die Beastmode-Malware neben Totolink auch auf Schwachstellen in mehreren D-Link-Routern, einer TP-Link-IP-Kamera, Netzwerk-Videoaufzeichnungsgeräten von Nuuo sowie Netgears ReadyNAS-Überwachungsprodukten ab. Besorgniserregend ist, dass mehrere gezielte D-Link-Produkte eingestellt wurden und kein Sicherheitsupdate vom Unternehmen erh alten, wodurch sie anfällig sind.
"Sobald Geräte mit Beastmode infiziert sind, kann das Botnet von seinen Betreibern verwendet werden, um eine Vielzahl von DDoS-Angriffen durchzuführen, die häufig in anderen Mirai-basierten Botnets zu finden sind", schrieben die Forscher.
Botnet-Betreiber verdienen Geld, indem sie entweder ihr Botnet, das aus mehreren tausend kompromittierten Geräten besteht, an andere Cyberkriminelle verkaufen, oder sie können die DDoS-Angriffe selbst starten und dann vom Opfer ein Lösegeld verlangen, um die Angriffe zu beenden. Laut Imperva können DDoS-Angriffe, die stark genug sind, um eine Website tagelang lahmzulegen, für nur 5 $/Stunde gekauft werden.
Router und mehr
Während Fortinet vorschlägt, dass Sicherheitsupdates unverzüglich auf alle ihre mit dem Internet verbundenen Geräte angewendet werden, schlägt Thomas vor, dass die Bedrohung nicht nur auf Geräte wie Router und andere Internet of Things (IoT)-Geräte wie Babyphone beschränkt ist und Heimüberwachungskameras.
"Malware wird immer heimtückischer und cleverer, wenn es darum geht, Endbenutzersysteme dazu zu bringen, Teil eines Botnetzes zu werden", betonte Thomas. Er schlug vor, dass alle PC-Benutzer sicherstellen sollten, dass ihre Antimalware-Tools auf dem neuesten Stand bleiben. Darüber hinaus sollte jeder alles tun, um verdächtige Websites sowie Phishing-Angriffe zu vermeiden.
Laut TrendMicro ist eine ungewöhnlich langsame Internetverbindung eines der Anzeichen für einen kompromittierten Router. Viele Botnets ändern auch die Anmeldeinformationen eines kompromittierten Geräts. Wenn Sie sich also nicht mit vorhandenen Anmeldeinformationen bei Ihrem mit dem Internet verbundenen Gerät anmelden können (und sicher sind, dass Sie nicht das falsche Passwort eingeben), besteht eine hohe Wahrscheinlichkeit, dass dies der Fall ist Malware hat Ihr Gerät infiltriert und seine Anmeldedaten geändert.
Wenn es um Malware geht, die Computer infiziert, sagte Thomas, dass Verbraucher es sich zur Gewohnheit machen sollten, die CPU-Auslastung ihrer Systeme in regelmäßigen Abständen zu überwachen. Dies liegt daran, dass viele Botnets auch Kryptomining-Malware enth alten, die den Prozessor Ihres Computers stiehlt und in Beschlag nimmt, um Kryptowährungen zu schürfen.
"Wenn Ihr System ohne offensichtliche Verbindungen schnell läuft, könnte dies ein Zeichen dafür sein, dass es Teil eines Botnetzes ist", warnte Thomas. "Wenn Sie also Ihren Laptop nicht benutzen, sch alten Sie ihn komplett aus."
