Die IT-Experten von Unit42, einer Abteilung von Palo Alto, verfolgen aufmerksam eine Cybercrime-Kampagne, die auf das Internet der Dinge (IoT) abzielt. Dabei nutzen die Angreifer Sicherheitslücken aus, um Varianten des gefürchteten Mirai-Botnets zu verbreiten.
Die Angreifer nutzen insgesamt 22 Sicherheitslücken, um vollen Zugriff auf die anfälligen Geräte zu erlangen und sie ihrem Botnet hinzuzufügen. Mit dieser Kontrolle führen sie dann weitere Angriffe wie Distributed Denial of Service (DDoS) durch.
Eine erste Welle dieser Kampagne wurde im März erkannt, als ein Shell-Downloader entdeckt wurde, der verschiedene Bot-Clients für unterschiedliche Prozessorarchitekturen herunterlädt und ausführt. Eine nachfolgende Kampagne im April nutzte denselben Shellcode-Downloader.
Die IT-Forensiker stellten fest, dass die Angreifer ständig neue Exploits hinzufügten und so immer mehr Router angriffen und in Drohnen für ihr Botnetz verwandelten. Aufgrund der Verhaltensmuster der heruntergeladenen Botnet-Clients gehen die Forscher davon aus, dass es sich um Varianten des Mirai-Botnets handelt.
Einzigartig an dieser Malware-Variante ist, dass sie im Gegensatz zu anderen Mirai-Versionen keine Funktionen enthält, um Brute-Force-Angriffe auf Telnet- oder SSH-Logins durchzuführen oder Schwachstellen in diesen Diensten auszunutzen. Die Malware verbreitete sich ausschließlich durch Angriffsversuche des Botnet-Betreibers.
Quelle: Palo Alto / Unit42
Die Liste der betroffenen Geräte und Software ist lang und umfasst Hersteller wie APsystems, Arris, D-Link, EnGenius, FLIR, Intelbras, MediaTek, MVPower, Netgear, Nortek, SolarView, Telesquare, Tenda, TP-Link, Vacron, Zeroshell und Zyxel. Besorgniserregend ist, dass einige der betroffenen Geräte das Ende ihres Lebenszyklus erreicht haben und daher keine Updates mehr erhalten, um die Sicherheitslücken zu schließen.
Als Reaktion darauf hat D-Link angekündigt, dass Nutzer in den USA, deren Geräte bereits das Ende ihres Lebenszyklus erreicht haben, Ersatzgeräte zu einem reduzierten Preis erhalten können.
Der Router, das Tor zum Internet und zu unseren digitalen Aktivitäten, nimmt eine Schlüsselposition ein. Die rechtzeitige und sofortige Installation von Sicherheitsupdates für Router ist besonders wichtig. Ohne aktuelle Sicherheitsupdates ist Ihr Router – und damit Ihr gesamtes Netzwerk – potenziell anfällig für verschiedene Arten von Cyberangriffen. Hacker und Cyberkriminelle sind ständig auf der Suche nach Schwachstellen in Netzwerkgeräten, um sich unberechtigten Zugang zu verschaffen, Daten zu stehlen oder Schadsoftware zu verbreiten. Aktuelle Software ist Ihre erste Verteidigungslinie gegen solche Angriffe.
