BrickerBot: Linux-Malware zerschießt IoT-Geräte

Die neue IoT-Malware BrickerBot verändert befallene Geräte so weit, dass sie nicht mehr funktionieren. Der Schädling scannt den Sicherheitsforschern von Radware zufolge das Internet nach Linux-basierten Routern oder anderen Geräten, die nur mit einem Default-Passwort gesichert sind, über die eigentlich nur Administratoren auf die Geräte zugreifen können sollten. Entdeckt der Bot ein Gerät mit einem „Factory-Passwort“, führt er verschiedene Kommandos aus, die sämtliche Dateien auf dem Gerät löschen, den Speicher korrumpieren und die Internet-Verbindung trennen. Bei günstigeren Consumer-Geräten ist dann häufig eine Reparatur nicht mehr wirtschaftlich. Die Geräte sind damit „bricked“, sprich zugemauert. Die Forscher von Radware sprechen dabei von einem PDoS-Attacke, einem Permanent Denial-of-Service.

Die Verbreitung von BrickerBot 1. (Grafik: Radware)

Radwares Spezialisten hatten eine „Falle“ ins Netz gestellt und auf dieser Installation dann mehr als 2200 Angriffsversuche mit PDoS-Malware entdeckt, die aus zwei Botnetzen erfolgten: BrickerBot 1 und BrickerBot 2. BrickerBot 1 war über die gesamte Welt verteilt, scheint aber inzwischen still gelegt zu sein. Doch BrickerBot 2, das noch zerstörerischer sein soll und teilweise auch Server angreift, scheint noch aktiv zu sein. Beide Malware-Varianten wurden etwa zeitgleich ab dem 20. März verbreitet.

Noch ist unklar, was die Angreifer mit dieser PDoS-Attacke bezwecken. Diese Netzwerke sind offenbar Varianten des Mirai Bots, das sich ebenfalls aus versklavten Geräten zusammensetzt, wie die Experten von Radware erklären. Doch hier haben die Hacker das Ziel, eine Armee von Geräten unter Kontrolle zu bringen, die dann für Denial-of-Service-Attacken genutzt werden können.

Gegenüber Ars Technica erklärt der Radware-Spezialist Pascal Geenens, dass es möglicherweise ein Hacker sein könnte, der einen Konkurrenten ausschalten und das Mirai-Botnet auf diese drastische Weise bekämpfen möchte. Doch nach der Analyse von BrickerBot 2, habe er diese Theorie wieder verworfen, weil die zweite Variante einfach jedes Linux-basierte Gerät angreift und nicht nur Systeme, die von Mirai gekapert werden, die BusyBox-basiert sind. Zudem verwendet BrickerBot 2 TOR-Nodes, um die eigenen IP-Adressen zu verschleiern. Jedoch ist die Wirkung von BrickerBot 2 dadurch eingeschränkt, dass in dem Gerät ein Telnet-Service aktiv sein muss, der über das vom Hersteller gesetzte Default-Passwort verfügt.

ANZEIGE

So lassen sich Risiken bei der Planung eines SAP S/4HANA-Projektes vermeiden

Ziel dieses Ratgebers ist es, SAP-Nutzern, die sich mit SAP S/4HANA auseinandersetzen, Denkanstöße zu liefern, wie sie Projektrisiken bei der Planung Ihres SAP S/4HANA-Projektes vermeiden können.

Radware rät in einem Advisory als Schutz gegen das Botnet, Default-Passwörter zu ändern und falls nicht nötig, Telnet zu deaktivieren.

Vor wenigen Tagen hatten die Sicherheitsexperten von Palo Alto eine ähnlich strukturierte Malware entdeckt, die sich ebenfalls auf Linux-basierte Geräte eingeschossen hatte. Amnesia jedoch zerstört die befallene Hardware nicht, sondern versucht ein Botnet aufzubauen. Amnesia soll laut den Sicherheitsexperten die erste Linux-Malware sein, die Sandbox-Funktionen umgehen kann. Zudem löscht sich Amnesia selbst, um nicht von Sicherheitstools entdeckt zu werden.

[Mit Material von Martin Schindler, silicon.de]

ZDNet.de Redaktion

Recent Posts

Microsoft verschiebt erneut Copilot Recall

Die Entwickler arbeiten noch an weiteren „Verfeinerungen“. Windows Insider erhalten nun wohl eine erste Vorschau…

16 Stunden ago

GenKI im Job: Mitarbeitende schaffen Tatsachen

Laut Bitkom-Umfrage werden in jedem dritten Unternehmen in Deutschland private KI-Zugänge genutzt. Tendenz steigend.

18 Stunden ago

97 Prozent der Großunternehmen melden Cyber-Vorfälle

2023 erlitten neun von zehn Unternehmen in der DACH-Region Umsatzverluste und Kurseinbrüche in Folge von…

19 Stunden ago

„Pacific Rim“-Report: riesiges, gegnerisches Angriffs-Ökosystem

Der Report „Pacific Rim“ von Sophos beschreibt Katz-und-Maus-Spiel aus Angriffs- und Verteidigungsoperationen mit staatlich unterstützten…

22 Stunden ago

DeepL setzt erstmals auf NVIDIA DGX SuperPOD mit DGX GB200-Systemen

NVIDIA DGX SuperPOD soll voraussichtlich Mitte 2025 in Betrieb genommen und für Forschungsberechnungen genutzt werden.

23 Stunden ago

Latrodectus: Gefährlicher Nachfolger von IcedID

Latrodectus, auch bekannt als BlackWidow, ist auch unter dem Namen LUNAR SPIDER bekannt.

23 Stunden ago