Sicherheitsforscher glauben, den Grund für die Zunahme anonymisierter Internetzugriffe im August gefunden zu haben. Fox-IT zufolge hat das Botnetz Mevade den Anstieg zu verantworten. Dieses verwende jetzt nicht mehr HTTP, sondern eben das TOR-Netzwerk für die Kommunikation zwischen Bots und Kommandoservern, heißt es in einem Blogbeitrag.
Manche Kommentatoren hatten geglaubt, den Anstieg an TOR-Kommunikation im August auf die beängstigenden Veröffentlichungen von Edward Snowden zurückführen zu können. Andere Theorien waren von Zugriffen von Aktivisten aus Syrien oder dem Launch des Private Browser der Site Pirate Bay ausgegangen.
„Die Mevade-Bots scheinen ebenso zahlreich wie weit verbreitet zu sein“, heißt es in dem Beitrag. „Schon vor der Umstellung auf TOR gab es etliche zehntausend bestätigte Infektionen in einer beschränkten Anzahl von Netzen. Wenn man diese Zahlen auf die Welt hochrechnet, ist man definitiv in einer Liga mit den Zunahmen der TOR-Nutzer.“
Fox-IT liefert noch eine Reihe weiterer Konjekturen: „Es ist möglich, dass dieses Malware-Netz nur dazu dient, weitere Malware nachzuladen, und dass die Clients zum Verkauf stehen. Wir haben dafür aber keine eindeutigen Beweise, sondern können nur kleine Hinweise kombinieren. Fest steht, dass es aus einer Region stammt, in der Russisch gesprochen wird. Für wahrscheinlich halten wir auch einen direkten oder indirekten Zusammenhang mit Finanzbetrug.“
Trend Micro präzisiert, die Kriminellen arbeiteten von der ukrainischen Stadt Charkiw sowie von Israel aus. Sie seien seit mindestens 2010 aktiv. Man habe in den letzten Wochen auch beobachtet, dass die Malware Mevade ein TOR-Modul heruntergeladen habe.
Laut Trend-Micro-Forscher Feike Hacquebord ist es den Kriminellen nicht allzu gut gelungen, ihre Spuren zu verwischen. „Einer der Hauptakteure ist als ‚Scorpion‘ bekannt. Ein anderer verwendet den Spitznamen ‚Dekadent‘. Es handelt sich um eine gut organisierte und offenbar finanziell schlagkräftige Cybercrime-Bande.“ Man habe sie mit Adware und entführten Suchergebnissen in Verbindung bringen können. „Darum mutmaßen wir, dass das Mevade-Botnetz unter anderem durch heimliche Installation von Adware und Toolbars zu Geld gemacht wird.“
[mit Material von Tom Brewster, TechWeekEurope.co.uk]
Tipp: Wie sicher sind Sie bei der Sicherheit? Überprüfen Sie Ihr Wissen – mit 15 Fragen auf silicon.de.
Die Passwort-Alternative Passkeys überholt Einmalpasswörter bei der Zwei-Faktor-Authentifizierung. Auch Microsoft setzt sich aktiv für die…
Der Anteil steigt seit 2020 um 34 Prozentpunkte. Allein 2023 erfasst Kaspersky rund 10 Millionen…
Salesforce forciert den Ausbau seiner Industry Clouds. Mit ihrem Prozesswissen könnten deutsche IT-Dienstleister davon profitieren.
Bisher unbekannter Bedrohungsakteur versucht über gefälschte IP Scanner Software-Domänen Zugriff auf IT-Umgebungen zu erlangen.
Der Bericht zeigt bereits nutzbare Angriffsanwendungen und bewertet die Risiken, die davon ausgehen.
Deutsche sehen Finanzwesen und IT im Zentrum der KI-Transformation. Justiz und Militär hingegen werden deutlich…