Sicherheitsforscher glauben, den Grund für die Zunahme anonymisierter Internetzugriffe im August gefunden zu haben. Fox-IT zufolge hat das Botnetz Mevade den Anstieg zu verantworten. Dieses verwende jetzt nicht mehr HTTP, sondern eben das TOR-Netzwerk für die Kommunikation zwischen Bots und Kommandoservern, heißt es in einem Blogbeitrag.
Manche Kommentatoren hatten geglaubt, den Anstieg an TOR-Kommunikation im August auf die beängstigenden Veröffentlichungen von Edward Snowden zurückführen zu können. Andere Theorien waren von Zugriffen von Aktivisten aus Syrien oder dem Launch des Private Browser der Site Pirate Bay ausgegangen.
„Die Mevade-Bots scheinen ebenso zahlreich wie weit verbreitet zu sein“, heißt es in dem Beitrag. „Schon vor der Umstellung auf TOR gab es etliche zehntausend bestätigte Infektionen in einer beschränkten Anzahl von Netzen. Wenn man diese Zahlen auf die Welt hochrechnet, ist man definitiv in einer Liga mit den Zunahmen der TOR-Nutzer.“
Fox-IT liefert noch eine Reihe weiterer Konjekturen: „Es ist möglich, dass dieses Malware-Netz nur dazu dient, weitere Malware nachzuladen, und dass die Clients zum Verkauf stehen. Wir haben dafür aber keine eindeutigen Beweise, sondern können nur kleine Hinweise kombinieren. Fest steht, dass es aus einer Region stammt, in der Russisch gesprochen wird. Für wahrscheinlich halten wir auch einen direkten oder indirekten Zusammenhang mit Finanzbetrug.“
Trend Micro präzisiert, die Kriminellen arbeiteten von der ukrainischen Stadt Charkiw sowie von Israel aus. Sie seien seit mindestens 2010 aktiv. Man habe in den letzten Wochen auch beobachtet, dass die Malware Mevade ein TOR-Modul heruntergeladen habe.
Laut Trend-Micro-Forscher Feike Hacquebord ist es den Kriminellen nicht allzu gut gelungen, ihre Spuren zu verwischen. „Einer der Hauptakteure ist als ‚Scorpion‘ bekannt. Ein anderer verwendet den Spitznamen ‚Dekadent‘. Es handelt sich um eine gut organisierte und offenbar finanziell schlagkräftige Cybercrime-Bande.“ Man habe sie mit Adware und entführten Suchergebnissen in Verbindung bringen können. „Darum mutmaßen wir, dass das Mevade-Botnetz unter anderem durch heimliche Installation von Adware und Toolbars zu Geld gemacht wird.“
[mit Material von Tom Brewster, TechWeekEurope.co.uk]
Tipp: Wie sicher sind Sie bei der Sicherheit? Überprüfen Sie Ihr Wissen – mit 15 Fragen auf silicon.de.
Bösartige QR-Codes, die per E-Mail versendet werden, eignen sich sehr gut, um Spam-Filter zu umgehen.
Unsichere Websites und Phishing-Mails in Verbindung mit Black Friday können kauffreudigen Konsumenten zum Verhängnis werden.
Malware SmokeLoader wird weiterhin von Bedrohungsakteuren genutzt, um Payloads über neue C2-Infrastrukturen zu verbreiten.
Bankhaus Metzler und Telekom-Tochter MMS testen, inwieweit Bitcoin-Miner das deutsche Stromnetz stabilisieren könnten.
Mit 1,7 Exaflops ist El Capitan nun der dritte Exascale-Supercomputer weltweit. Deutschland stellt erneut den…
Der deutsche Hyperscaler erweitert sein Server-Portfolio um vier Angebote mit den neuen AMD EPYC 4004…