Botnetz IPStorm wird nun als Anonymisierungsdienst angeboten

Anzeige

Whitepaper gibt detaillierte Einblicke in das Innenleben des Botnetzes.

Die Bots werden über ein P2P-Netzwerk als Proxy verwendet, worüber die Nutzer ihre kriminellen Machenschaften zu verbergen suchen.

Seit seiner Entdeckung im Juni 2019 beobachten Sicherheitsforscher von Bitdefender den Entwicklungszyklus des aus über 9000 gehackten Geräten bestehenden Botnetzes »Interplanetary Storm«. IPStorm verfügt grundsätzlich über eine komplexe modulare Infrastruktur, die Betreiber beherrschen beste Entwicklungspraktiken und kennen sich mit dem Verbergen von Verwaltungsknoten sehr gut aus. Das Botnetz wird ständig aktualisiert und seit einiger Zeit nun wohl als kostenpflichtiger Anonymisierungsdienst verwendet. In seiner neuen Iteration verbreitet sich IPStorm durch Angriffe auf Unix-basierte Systeme (Linux, Android und Darwin), auf denen Internet-zugewandte SSH-Server mit schwachen Berechtigungsnachweisen oder ungesicherte ADB-Server laufen.

Abonnementbasiertes Modell

Der Dienst wird dabei nicht im Darknet, sondern über eine Webseite im normal zugängigen Internet als Abonnement angeboten. Je nach Anzahl der gewünschten TCP-Verbindungen berechnet die Gruppe zwischen 74 und 259 US-Dollar. Auch ein Premium-Paket für 499 US-Dollar kann gebucht werden. Die Bots werden über ein P2P-Netzwerk als Proxy verwendet, worüber die Nutzer ihre kriminellen Machenschaften zu verbergen suchen.

Whitepaper legt Details zu IPStorm offen

In einem detaillierten Whitepaper beschreibt Bitdefender das Innenleben von IPStorm, liefert eine umfassende technische Analyse der von Golang (aka Programmiersprache »Go«) geschriebenen Binärdateien zusammen mit einem Überblick über die Protokollinterna und einige Informationen zur Attribution.

Die wichtigsten Ergebnisse des Whitepapers

  • IPStorm wird derzeit wahrscheinlich als anonymes Proxy-Netzwerk angeboten
  • Es wurde entwickelt, um kompromittierte Geräte als Proxys zu verwenden
  • Die Botnet-Kartierung zeigt globale Präsenz
  • Es wird mit mehrstufigem Preismodell auf Abonnementbasis vermietet
  • Bis heute mehr als 100 Code-Überarbeitungen

 

Das Whitepaper kann hier kostenlos heruntergeladen werden.

 

Interplanetary Storm Botnet Shows Signs of Anonymization-Purpose Proxy-for-Hire Infrastructure

 

Die Kartierung des Botnetzes zeigt, dass kompromittierte Geräte weltweit verbreitet sind.

 

192 Artikel zu „Botnetz“

Botnetz Mirai beschränkt sich nicht mehr nur auf IoT-Geräte

Das Botnetz Mirai beschränkt sich nicht mehr länger auf ungesicherte IoT-Geräte. Das sind Erkenntnisse von ASERT, ein Team aus Sicherheitsspezialisten des Unternehmens NETSCOUT Arbor. Kriminelle Betreiber der großen Botnetze haben die Malware von Mirai so angepasst, dass sie nun auch ungepatchte Linux-Server über die Schwachstelle Hadoop Yarn gefährden. Hadoop ist ein Framework von Apache, das…

Bedrohungslage für IoT-Geräte steigt – sieben neue Varianten des Mirai-Botnetzes

Angriffe auf IoT-Geräte im Smart Home durch ehrgeizigen Cybercrime-Nachwuchs. Durch das Botnetz Mirai wurden im September 2016 große Unternehmen wie Twitter, CNN und Spotify beim größten DDoS-Angriff der Geschichte vom Netz genommen. Damals erwartete noch niemand, dass durch den Zusammenschluss einer Vielzahl von Internet of Things (IoT)-Geräten zu einem Botnetz ein solch massiver Angriff gestartet…

Mylobot-Botnetz liefert einen Doppelschlag mit Khalesi-Malware

Neue Infektionstaktiken durch weltweit verbreitete Malware.   Ein neuer Bericht von CenturyLink, Inc. zeigt auf, dass das Mylobot-Botnetz nach dem Infizieren eines Computers noch andere Arten von Schadsoftware herunterladen und so größeren Schaden beim Diebstahl von Informationen verursachen kann. Mylobot enthält hochentwickelte antivirtuelle Maschinen- und Anti-Sandboxing-Techniken, um seine Erkennung und Analyse zu erschweren. Dazu gehört…

Weltweites Botnetz »Avalanche« zerschlagen

PC-Nutzer können mit dem kostenlosen Tool prüfen, ob sie betroffen sind. Die Staatsanwaltschaft Verden hat in Zusammenarbeit mit internationalen Partnern und dem Bundesamt für Sicherheit in der Informationstechnik (BSI) eine der weltweit größten Botnetz-Infrastrukturen zerschlagen. Laut BSI wurden durch das Botnetz hunderttausendfach private und geschäftliche Computer mit unterschiedlicher Schadsoftware infiziert. Mit der Abschaltung der Command-and-Control-Server…

Europa wieder im Fokus von DDoS-Attacken durch Botnetze

Unternehmen werden oft mehrmals pro Jahr angegriffen, teilweise mit erheblichen Folgen. Die Zahlen des aktuellen DDoS Intelligence Report [1] für das dritte Quartal 2016 zeigen, dass die über Botnetze ausgeführten DDoS-Attacken (Distributed Denial of Service) in und aus Westeuropa zugenommen haben. Erstmals seit einem Jahr sind Deutschland, Frankreich und Italien wieder unter den zehn am…

Malware durch Tweets: Forscher entdecken erstes Twitter-basiertes Android-Botnetz

Android/Twitoor verteilt sich über SMS und Links. Twitter-Accounts werden als Steuerungswerkzeug missbraucht und können die Installation weiterer Malware aus der Ferne anschieben. Der europäische Security-Software-Hersteller ESET hat die erste Schadsoftware für Android entdeckt, die über Tweets gesteuert wird. Die »Android/Twitoor« genannte Backdoor ist dazu in der Lage, weitere bösartige Software nachzuladen, sobald ein Tweet den…

Neuer Trend: DDoS-Attacken über Router-Botnetze

Für die Durchführung von DDoS-Attacken (Distributed-Denial-of-Service-Attacken) erweitern Cyberkriminelle ihre hierfür genutzten Botnetze um Netzwerkgeräte wie Router oder DSL-Modems. Router-Botnetze haben den Vorteil, dass die infizierten Geräte ständig online sind. Zudem können Sicherheitslücken auf diesen Geräten mit einfachen Mitteln automatisiert ausgenutzt werden. Diese Erkenntnisse gehen unter anderem aus dem Kaspersky DDoS Intelligence Report für das zweite…

8 Tipps wie man sich vor Botnetzen schützt

Botnetze gibt es schon seit langer Zeit und da die Botmaster immer besser darin werden, ihre Spuren zu verwischen und ihre Machenschaften auf infizierten Computern zu verbergen, werden sie auch immer raffinierter. Haben sie erst einmal die volle Kontrolle über Ihren Computer erlangt, können sie Ihre Bankdaten »abhören«, weitere Malware herunterladen oder Ihr Gerät für…

Drei Tipps wie CISOs die menschliche Firewall ihres Unternehmens stärken können

Unabhängig davon, ob sie sich dessen bewusst sind oder nicht, können Mitarbeiter ein erhebliches Risiko für die Sicherheit von Unternehmensnetzwerken und deren gespeicherte Daten darstellen: Um Cyberkriminellen die Tür zu öffnen, reicht es, auf einen Link zu klicken oder eine Datei herunterzuladen, ohne zuvor zu prüfen, ob diese schädlich ist. Beschäftigte, die von zu Hause…

Fünf Vorhersagen für die nächsten fünf Jahre

Schwerpunkt: Beschleunigung der Materialforschung mit KI und Quantencomputing. Seit über einem Jahrzehnt formuliert IBM Research fünf Thesen und Vorhersagen, die in den kommenden fünf Jahren Realität werden und tiefgreifende Auswirkungen auf uns alle haben könnten. Wir nennen diese Vorhersagen IBMs 5 in 5. Das große Thema der nächsten Jahre wird die schnellere Erforschung neuer Materialien…

Dynatrace startet neues Partner-Kompetenz-Programm

Unternehmen finden optimale Partner für schnellere digitale Transformation in Multi-Cloud-Umgebungen. Das Software-Intelligence-Unternehmen Dynatrace hat sein Partner-Kompetenz-Programm gestartet. Es unterstützt Unternehmen bei der Suche nach Partnern, die nachweislich die Dynatrace® Software Intelligence Platform erfolgreich einsetzen, um die digitale Transformation ihrer Kunden voranzutreiben. Die Dynatrace Competencies dokumentieren das Fachwissen der Partner für spezifische Use Cases und Technologien,…

DNS-over-HTTPS: Diskussionspapier macht Vorschläge für mehr Sicherheit in Netzwerkumgebungen 

DNS-over-HTTPS (DoH) hilft Man-in-the-Middle-Angriffe zu verhindern. Eigene DoH-Resolver ermöglichen aktuelle, sichere und hochleistungsfähige Internet-Services. DNS (Domain Name System)-Anfragen – zum Beispiel das Aufrufen einer Website im Browser – sind noch häufig unverschlüsselt. Das birgt Sicherheitsrisiken. Um dies zu ändern, nutzt das 2018 vorgestellte DNS-over-HTTPS (DoH)-Protokoll die etablierte HTTPS-Verschlüsselung. Mit den bevorstehenden Updates von Apple iOS…

Akute Ransom-Attacken auf Finanzdienstleister, E-Commerce und die Reisebranche

Seit Mitte August hat Radware mehrere Ransom-Kampagnen von Akteuren verfolgt, die sich als »Fancy Bear«, »Armada Collective« und »Lazarus Group« ausgeben und mit massiven DDoS-Attacken drohen. Die Geldforderungen werden per E-Mail zugestellt und enthalten in der Regel opferspezifische Daten wie Autonomous System Numbers (ASN) oder IP-Adressen von Servern oder Diensten, auf die sie abzielen werden,…

Covid-19 wird das Verhalten von Versicherungskunden langfristig verändern

Europäische Versicherungen erwarten größere Nachfrage nach digitalen Produkten und Services. Die Zukunft von Versicherungsmaklern ist nicht gefährdet. 86 Prozent der europäischen Versicherungsunternehmen erwarten, dass sich das Kundenverhalten im Zuge der Covid-19-Krise nachhaltig verändert. Vor allem die Nachfrage nach digitalen Produkten und Services werde steigen. Dies zeigt eine Umfrage, welche die Information Services Group (ISG) im…

Exit-Scam: Das Ende von Empire Market?

Weltgrößter Darknet-Markt ist nicht mehr erreichbar; Spekulationen um Exit-Scam. Empire Market, einer der größten Marktplätze im Darknet, ist seit Sonntag offline. Es wird angenommen, dass es sich um einen Exit-Scam handelt und die Betreiber der Seite mit dem Geld der kriminellen Kundschaft verschwunden sind. Empire Market zählte bislang zu den umsatzstärksten Umschlagsplätzen im Darknet. Nach…

Script-basierte Malware – der neue Cyberangriffstrend

Palo Alto Networks hat in den letzten Monaten über Browser-Exploits, die auf Internet Explorer (IE) abzielten, ausgeklügelte Script-basierte Malware entdeckt, die Benutzer des Windows-Betriebssystems infiziert. Die Sicherheitsexperten haben daraufhin diese Scripts auf ihre Hauptmerkmale hin untersucht, um zu zeigen, warum sie für Angreifer attraktiv sind und so zu einem Trend führen könnten, der Aufmerksamkeit verdient.…

Die meisten DDoS-Angriffe stammen aus den USA und China

Der aktuelle Threat Intelligence Report von A10 Networks zeigt, dass die USA und China die führenden Herkunftsländer von Distributed Denial of Service-Angriffen (DDoS) sind [1]. Zudem verdeutlichen die Ergebnisse, dass DDoS-Angriffe in Umfang, Häufigkeit und Komplexität weiter zunehmen und Hacker für ihre Zwecke zu immer unterschiedlicheren Strategien greifen. So werden DDoS-Botnet-Werkzeuge immer häufiger eingesetzt, während…

DDoS-as-a-Service wächst trotz Razzien und Verhaftungen

Nach Angaben der Sicherheitsspezialisten von Radware haben Razzien, Verhaftungen und die Beschlagnahmung von Servern keine nennenswerten Auswirkungen auf das Wachstum illegaler Booter- und Stresser-Dienste. Solche Dienste, auch als DDoS-as-a-Service bezeichnet, werden von vielen Hackern angeboten, die auf diese Weise ihre bestehenden Botnets vermarkten, wenn sie diese nicht gerade selbst für eine Attacke einsetzen. Sie agieren…