Bedrohung durch Botnetz-Armeen: Automatisierte Gefahr im Cyberspace

Botnetze und Botnetz-Armeen sind Begriffe, die immer wieder in den Schlagzeilen auftauchen, wenn es um die Gefahren im Cyberspace geht. Doch was genau verbirgt sich hinter diesen Begriffen, und warum sollten wir uns um sie sorgen? In diesem Blogartikel werden wir uns ausführlich mit Botnetzen und deren Gefahren beschäftigen, bevor wir zu den jüngsten Trends und Entwicklungen in Bezug auf Botnetz-Armeen übergehen.

Was ist ein Botnetz?

Botnetze sind wie eine unsichtbare Armee im Cyberspace: Sie bestehen aus Tausenden oder sogar Millionen von gehackten Computern und Geräten, die ferngesteuert werden, um verschiedene bösartige Aktivitäten auszuführen.

Genauer gesagt, ist ein Botnetz eine Sammlung von vernetzten Computern, die von einem oder mehreren Botnetz-Betreibern, auch als „Botmaster“ bezeichnet, ferngesteuert werden. Diese Computer, auch „Bots“ genannt, wurden heimlich mit Schadsoftware, in der Regel einem sogenannten Bot, infiziert. Diese Schadsoftware ermöglicht es dem Botmaster, die Kontrolle über die infizierten Computer zu übernehmen, ohne dass die Opfer davon etwas mitbekommen.

Botnetze werden oft dazu verwendet, Spam-E-Mails zu verschicken, DDoS-Angriffe (Distributed Denial of Service) durchzuführen oder persönliche Daten zu stehlen. Diese Aktivitäten können erhebliche Schäden anrichten, sei es finanziell, indem sie Unternehmen erpressen, oder indem sie die Stabilität des Internets gefährden. In unserem Beitrag „Botnetze: Die automatisierte Gefahr“ haben wir ausführlich erläutert, wie Botnetze funktionieren und warum sie gefährlich sind.

Komplexe Angriffe und neueste Entwicklungen

In den letzten Jahren hat die Bedrohung durch Botnetze zugenommen, insbesondere in Form von sogenannten Botnetz-Armeen. Diese Armeen bestehen aus einer Vielzahl von Botnetzen, die von verschiedenen Akteuren gesteuert werden. Dies kann von staatlich gesponserten Gruppen bis hin zu Cyberkriminellen reichen. Beunruhigend sind die Entwicklungen in Bezug auf Botnetz-Armeen:

Nationen im Cyberkrieg: Ein besorgniserregender Trend ist der Einsatz von Botnetz-Armeen durch Staaten in Cyberspionage und gezielten Angriffen auf andere Länder. Dies kann politische, wirtschaftliche und militärische Ziele umfassen.

IoT-Botnetze: Das Internet der Dinge (IoT) hat die Angriffsfläche erheblich erweitert. Botnetze nutzen zunehmend unsichere IoT-Geräte, um sich zu vergrößern. Dies führt zu einer wachsenden Zahl von Angriffen auf vernetzte Geräte wie Kameras, Router und Smart-Home-Geräte.

Kryptowährungs-Mining: Botnetz-Betreibende nutzen infizierte Computer, um Kryptowährungen wie Bitcoin zu schürfen. Dies kann zu einer erheblichen Belastung der Ressourcen der Opfer führen.

Threat Intelligence Report zeigt Arsenal an Techniken und Taktiken

Der 2022 erschienene Threat Intelligence Report von Netscout zeigt eindrucksvoll, wie die Angreifenden ein breites Spektrum neuer Taktiken, Techniken und Methoden für ihre Aktivitäten entwickelt haben: Obwohl im ersten Halbjahr 2021 ein Omnivore-Angriff in Deutschland mit 31 unterschiedlichen Angriffsvektoren identifiziert wurde, hat die Frequenz solcher Multivektor-Angriffe erstmals in einem Zeitraum von fünf Jahren abgenommen. Anstatt sich weiterhin auf diese Methode zu konzentrieren, haben sich Cyberkriminelle vermehrt direkten Angriffsformen, wie den Direct-path oder Non-spoofed Attacks, zugewandt. Angreifende kehren dabei vermehrt zu direkten Angriffen zurück, bei denen sie nicht länger versuchen, ihre wahre Identität zu verschleiern. Dies ermöglicht es ihnen, schneller und effektiver zuzuschlagen.

Mehrere Gründe haben diese Verlagerung der Strategie beeinflusst, wobei die Einführung von Mirai für Intel-Architekturen besonders hervorsticht. Diese führte nämlich unbeabsichtigt zu einer raschen Ausnutzung von Schwachstellen in Servern, darunter Confluence, GitLab und Log4J. Da die Cyberkriminellen bereits Erfahrung mit den DDoS-Anwendungen der existierenden Mirai-Botnets hatten, konnten sie die neuen Mirai-Botnets für Server effizient nutzen, um DDoS-Angriffe durchzuführen.

Botnetz-Angriffe: Das sind die neuen Bedrohungen im Cyberspace

1. Direct-Path-Flooding-Angriffe: Beunruhigende Realität

Leider sind Direct-Path-Flooding-Angriffe zu einer beunruhigenden Realität geworden. Diese Angriffe zeichnen sich durch ihre enormen Bandbreiten aus, die in einigen Fällen 2,5 Terabit pro Sekunde (!) überschreiten. Angriffe eines solchen Ausmaßes sind möglich, weil sie über Botnetze gestartet werden, die eine Vielzahl von infizierten Computern miteinander verknüpfen. Mit einer derartigen Geschwindigkeit und einem solche Volumen können Direct-Path-Flooding-Angriffe Unternehmen und Dienste erheblich beeinträchtigen oder gar vollständig lahmlegen., was wirtschaftliche und sicherheitsrelevante Konsequenzen nach sich zieht.

2. Das Mantis-Botnet: Eine Armee der Zerstörung

Im Juni 2022 tauchte erstmals das Mantis-Botnet auf und erregte durch seine massiven DDoS-Angriffe auf das Content Distribution Network (CDN) Unternehmen Cloudflare Aufmerksamkeit: Mantis kaperte etwa 5.000 Rechner und führte innerhalb eines Monats mehr als 3.000 DDoS-Angriffe durch. Dabei hat Mantis zum Beispiel einen wirklich rekordverdächtigen DDoS-Angriff mit 26 Millionen HTTPS-Anfragen pro Sekunde durchgeführt.

Cloudflare verzeichnete in den ersten Angriffswochen Angriffe auf fast 1.000 seiner Kunden. Das Mantis-Botnet zielt nicht nur auf herkömmliche Computer ab, sondern hat es auch auf virtuelle Maschinen und Server von CDN abgesehen, was eine erhebliche Gefahr für die Stabilität des Internets darstellt. Nicht zuletzt zeigt das Beispiel auch,wie ein gut koordinierter Botnetz-Angriff sogar große und gut geschützte Netzwerkinfrastrukturen ins Wanken bringen kann.

3. Enemybot: Ein geheimnisvoller Angreifer

Das dritte, aber keineswegs weniger gefährliche Botnet, das wir Ihnen vorstellen möchten, ist das Enemybot. Forschende von FortiGuard Labs haben dieses neue Botnet im März 2022 identifiziert. Das perfide: Enemybot ist ein Hybrid, der neben dem Quellcode von Gafgyt Module aus dem berüchtigten Mirai-Botnet verwendet.

Der Enemybot zielt auf eine breite Palette von Geräten und Architekturen ab, darunter Router, Internet-of-Things-Geräte (IoT) und verschiedene Serverstrukturen. Enemybot versucht, eine Vielzahl von Geräten und Architekturen durch Techniken wie Brute-Force-Angriffe und Ausnutzung von Sicherheitslücken zu kompromittieren. Seowon Intech-, D-Link-, Netgear- und Zhone-Router sind ebenso im Visier wie iRZ-Mobilrouter und fehlkonfigurierte Android-Geräte.

Vermutlich ist Keksec Betreiber dieses Botnets. Keksec ist auch bekannt unter dem Namen Necro oder Freakout und ist eine erfolgreiche Bedrohungsgruppe, die mit DDoS-Angriffen, Cyberattacken gegen Cloud-Service-Anbieter und Kryptojacking-Kampagnen in Verbindung gebracht wird.

Branchen im Fadenkreuz von Botnetz-Angriffen

Botnetz-Angriffe können eine Vielzahl von Branchen und Organisationen betreffen, aber einige sind aufgrund ihrer spezifischen Merkmale und Bedeutung für die Cybersicherheit besonders gefährdet. Häufige Ziele für Botnetz-Angriffe sind insbesondere Banken, Zahlungsabwickler und andere Finanzinstitute, Unternehmen im Bereich des E-Commerce – immerhin verarbeiten sie reichlich Online-Zahlungsabwicklungen und Kundenkontoinformationen –, sowie das Gesundheitswesen, das viele hochsensible Patientendaten und medizinische Informationen enthält.

Beliebte Ziele sind auch Regierungsbehörden und Institutionen, aufgrund ihrer Bedeutung und Sensibilität für nationale Sicherheitsfragen, sowie Unternehmen der Medien- und Unterhaltungsbranche, um beispielsweise Urheberrechtsverletzungen und illegales Streaming zu unterstützen.

Branchen, auf die laut Netscouts Threat Intelligence Report Angriffe in den vergangen Jahren besonders zugenommen haben, sind vor allem Technologieunternehmen, insbesondere Softwareentwickler (+606 Prozent) und Computerhersteller (+162 Prozent). Cyberkriminellen geht es hier besonders darum, geistiges Eigentum zu stehlen oder Schwachstellen auszunutzen.

Deutlich zugenommen haben aber auch Angriffe auf Versicherungsagenturen und -makler (+257 Prozent) sowie auf Bildungseinrichtungen (+102 Prozent): Vor allem Hochschulen, Universitäten und Berufsschulen enthalten viele sensible Informationen über Schüler und Schülerinnen, Lehrende und Forschungsinhalte.

Botnet-Enzyklopädie

Zum Glück gibt es Ressourcen wie die Botnetz-Enzyklopädie von Guardicore, die einen immens wichtigen Beitrag zur Verbesserung der Cybersicherheit leistet. Diese Enzyklopädie bietet eine umfassende Sammlung von Informationen zu verschiedenen Botnetzen, ihren Funktionsweisen und den von ihnen verwendeten Angriffsmethoden. Hier können Sicherheitsexperten und Sicherheitsexpertinnen, Unternehmen und Organisationen wichtige Einblicke gewinnen, um sich vor Botnetz-Angriffen zu schützen. Die Wissensdatenbank wird fortlaufend aktualisiert, sodass aktuelle und vergangene Botnet-Kampagnen bestens dokumentiert werden.

Guardicores Botnetz-Enzyklopädie dient als nützliche Ressource zur Aufklärung und Sensibilisierung in Bezug auf Botnetz-Angriffe. Sie zeigt die Vielfalt der Bedrohungen und hilft dabei, angemessene Verteidigungsstrategien zu entwickeln. Wir können Ihnen diese Enzyklopädie nur ans Herz legen, um die Arbeitsweise der Botnetze besser zu verstehen und angemessene Schutzmaßnahmen ergreifen.

Cybersicherheit stärken: 10 Tipps zum Schutz vor Botnetz-Angriffen

Botnetze sind eine ständige Bedrohung in der heutigen digitalen Welt. Doch mit den richtigen Schutzmaßnahmen können Sie Ihr Unternehmen oder Ihre Organisation vor den Gefahren von Botnetz-Angriffen schützen. Wir haben 10 Schutzmaßnahmen zusammengestellt, mit deren Hilfe Sie Ihre Organisation besser gegen Botnetz-Angriffe abschirmen können. Denken Sie bei der Umsetzung bitte daran, dass Cybersicherheit eine fortlaufende Aufgabe ist und Sie wachsam bleiben müssen, um sich vor den ständig weiterentwickelnden Bedrohungen des digitalen Zeitalters zu schützen.

1. Halten Sie Ihre Software aktuell
Stellen Sie sicher, dass Ihr Betriebssystem und alle Ihre Anwendungen regelmäßig aktualisiert werden. Viele Botnetz-Infektionen finden durch nicht gepatchte Software-Schwachstellen statt. Automatische Updates können hierbei sehr hilfreich sein.

2. Verwenden Sie eine vertrauenswürdige Antivirus-Software
Wählen Sie eine renommierte Antivirus-Software und halten Sie sie stets aktuell. Die meisten modernen Antivirus-Programme können Botnetze erkennen und entfernen.

3. Seien Sie vorsichtig mit E-Mail-Anhängen und Links
Viele Botnetz-Infektionen erfolgen durch schädliche E-Mail-Anhänge oder Links. Öffnen Sie niemals Anhänge oder klicken Sie auf Links von unbekannten Absendern.

4. Verwenden Sie eine Firewall
Eine Firewall kann den eingehenden und ausgehenden Datenverkehr überwachen und unerwünschten Datenverkehr blockieren, was die Chancen einer Botnetz-Infektion erheblich reduzieren kann.

5. Schränken Sie Benutzerrechte ein
Arbeiten Sie nicht ständig mit Administratorrechten, wenn es nicht nötig ist. Wenn Malware auf einem Konto mit eingeschränkten Rechten ausgeführt wird, kann sie weniger Schaden anrichten.

6. Ändern Sie regelmäßig Ihre Passwörter
Stellen Sie sicher, dass Sie für alle Ihre Konten starke und einzigartige Passwörter verwenden. Ein Passwortmanager kann dabei helfen, viele verschiedene Passwörter sicher zu verwalten.

7. Deaktivieren Sie nicht benötigte Dienste
Je weniger Dienste und Ports auf Ihrem Computer geöffnet sind, desto geringer ist das Risiko einer Infektion. Überprüfen Sie regelmäßig, welche Dienste laufen, und deaktivieren Sie diejenigen, die Sie nicht benötigen.

8. Seien Sie vorsichtig bei der Verwendung von P2P- und Freeware-Software
Manchmal kann solche Software Malware enthalten oder unsichere Netzwerkkonfigurationen verwenden, die Ihr System anfällig machen.

9. Bilden Sie sich weiter
Die Cybersicherheitslandschaft verändert sich ständig. Halten Sie sich durch den Besuch von Sicherheits-Blogs, Webinaren und Schulungen auf dem Laufenden und schulen Sie auch Ihre Beschäftigten.

10. Überwachen Sie Ihr Netzwerk
Nutzen Sie Netzwerküberwachungstools, um ungewöhnlichen Datenverkehr oder Aktivitäten in Ihrem Netzwerk zu erkennen. Ein plötzlicher Anstieg des ausgehenden Datenverkehrs könnte ein Anzeichen für eine Botnetz-Infektion sein.

Fazit zu Botnetzen

Botnetze und Botnetz-Armeen stellen eine ernsthafte Bedrohung für die Sicherheit im Cyberspace dar. Ihre Vielseitigkeit und die Fähigkeit, massive Ressourcen zu mobilisieren, machen sie zu gefährlichen Werkzeugen für Cyberangriffe. Mit den richtigen Vorsichtsmaßnahmen und einer aktiven Sicherheitsstrategie können Sie das Risiko einer Infektion jedoch erheblich reduzieren.

Die neuen Botnetz-Angriffe zeigen aber auch, wie entschlossen und raffiniert die Angreifenden geworden sind. Um dieser Bedrohung wirksam zu begegnen, müssen Regierungen, Unternehmen sowie Sicherheitsexperten und -expertinnen verstärkt zusammenarbeiten und proaktive Sicherheitsmaßnahmen zur Abwehr und Bekämpfung ergreifen. Wir denken, dass nur durch koordinierte Anstrengungen auf internationaler Ebene diesen automatisierten Bedrohungen effektiv begegnet werden kann.

Wie ist Ihre Meinung? Teilen Sie uns gerne Ihre Ansichten mit und treten mit uns in Kontakt. Auch wenn Sie weitere Fragen oder Informationen rund um das Thema Botnetze benötigen, stehen wir Ihnen sehr gern zur Verfügung.