Sicherheitsforscher glauben, den Grund für die Zunahme anonymisierter Internetzugriffe im August gefunden zu haben. Fox-IT zufolge hat das Botnetz Mevade den Anstieg zu verantworten. Dieses verwende jetzt nicht mehr HTTP, sondern eben das TOR-Netzwerk für die Kommunikation zwischen Bots und Kommandoservern, heißt es in einem Blogbeitrag.
Manche Kommentatoren hatten geglaubt, den Anstieg an TOR-Kommunikation im August auf die beängstigenden Veröffentlichungen von Edward Snowden zurückführen zu können. Andere Theorien waren von Zugriffen von Aktivisten aus Syrien oder dem Launch des Private Browser der Site Pirate Bay ausgegangen.
„Die Mevade-Bots scheinen ebenso zahlreich wie weit verbreitet zu sein“, heißt es in dem Beitrag. „Schon vor der Umstellung auf TOR gab es etliche zehntausend bestätigte Infektionen in einer beschränkten Anzahl von Netzen. Wenn man diese Zahlen auf die Welt hochrechnet, ist man definitiv in einer Liga mit den Zunahmen der TOR-Nutzer.“
Fox-IT liefert noch eine Reihe weiterer Konjekturen: „Es ist möglich, dass dieses Malware-Netz nur dazu dient, weitere Malware nachzuladen, und dass die Clients zum Verkauf stehen. Wir haben dafür aber keine eindeutigen Beweise, sondern können nur kleine Hinweise kombinieren. Fest steht, dass es aus einer Region stammt, in der Russisch gesprochen wird. Für wahrscheinlich halten wir auch einen direkten oder indirekten Zusammenhang mit Finanzbetrug.“
Trend Micro präzisiert, die Kriminellen arbeiteten von der ukrainischen Stadt Charkiw sowie von Israel aus. Sie seien seit mindestens 2010 aktiv. Man habe in den letzten Wochen auch beobachtet, dass die Malware Mevade ein TOR-Modul heruntergeladen habe.
Laut Trend-Micro-Forscher Feike Hacquebord ist es den Kriminellen nicht allzu gut gelungen, ihre Spuren zu verwischen. „Einer der Hauptakteure ist als ‚Scorpion‘ bekannt. Ein anderer verwendet den Spitznamen ‚Dekadent‘. Es handelt sich um eine gut organisierte und offenbar finanziell schlagkräftige Cybercrime-Bande.“ Man habe sie mit Adware und entführten Suchergebnissen in Verbindung bringen können. „Darum mutmaßen wir, dass das Mevade-Botnetz unter anderem durch heimliche Installation von Adware und Toolbars zu Geld gemacht wird.“
[mit Material von Tom Brewster, TechWeekEurope.co.uk]
Tipp: Wie sicher sind Sie bei der Sicherheit? Überprüfen Sie Ihr Wissen – mit 15 Fragen auf silicon.de.
Check Point warnt vor offener Schwachstelle, die derzeit von Hackern für Phishing ausgenutzt wird.
Video-Babyphones sind ebenfalls betroffen. Cyberkriminelle nehmen vermehrt IoT-Hardware ins Visier.
Der Downloader hat hierzulande im April einen Anteil von 18,58 Prozent. Im Bereich Ransomware ist…
Unternehmen greifen von überall aus auf die Cloud und Applikationen zu. Dementsprechend reicht das Burg-Prinzip…
Hacker nutzen eine jetzt gepatchte Schwachstelle im Google-Browser bereits aktiv aus. Die neue Chrome-Version stopft…
Microsoft bietet seit Anfang der Woche einen Patch für die Lücke. Kaspersky-Forscher gehen davon aus,…