IT-Sicherheit

Mirai-Botnet: König der IoT-Malware

Wie die (Linux-)Schadsoftware DDoS-Attacken vorbereitet

von 16.10.2020
Zu sehen sind ein Smart TV und ein Lautsprecher; solche IoT-Geräte laufen Gefahr, in das Mirai-Botnet integriert zu werden. Bild: Unsplash/Jonas Leupe
Smarte Geräte werden infiziert und in das Mirai-Botnet integriert. Bild: Unsplash/Jonas Leupe

Die Malware Mirai infiziert mit besonderer Vorliebe IoT-Geräte und spannt darüber ihr Botnetz auf. Das Mirai-Botnet ist dabei so präsent und so gefährlich, dass es den Titel als „König der IoT-Malware“ schon seit einigen Jahren vehement verteidigt.
Die Gefahr durch die (Linux-)Schadsoftware ist besonders für Unternehmen groß. Warum? Das lesen Sie bei uns.

Zu sehen sind ein Smart TV und ein Lautsprecher; solche IoT-Geräte laufen Gefahr, in das Mirai-Botnet integriert zu werden. Bild: Unsplash/Jonas Leupe

Smarte Geräte werden infiziert und in das Mirai-Botnet integriert. Bild: Unsplash/Jonas Leupe

IoT-Geräte sind ein leichtes Ziel

Schätzungen gehen davon aus, dass bis Ende des Jahres 2020 20,4 Milliarden Endgeräte mit dem Internet verbunden sein werden. Cyberkriminellen bietet sich damit ein immer reichhaltigeres Angebot an Systemen, die sie für ihre Zwecke missbrauchen können. Geräte wie Router, Kameras, Smart-TVs, Smartwatches und Smart Toys, die zum Internet of Things (IoT) gehören, stellen dabei häufig ein leichtes Ziel dar.
Das Problem: Bei vielen IoT-Produkten – vor allem aber bei den günstigeren unter ihnen – wird die Cybersicherheit vernachlässigt. Hacker machen sich genau das zunutze und suchen im World Wide Web gezielt nach schlecht geschützten IoT-Geräten, die über eine aktive Verbindung zum Internet verfügen, um diese mit Schadsoftware zu infizieren.
Und damit geben sie sich noch nicht zufrieden. Die Kriminellen spannen die befallenen Geräte nämlich außerdem als Bots in ihr Botnetz ein. Als eines der berüchtigtsten dieser Botnetze gilt das Mirai-Botnet.

Was ist das Mirai-Botnet?

Mirai ist das japanische Wort für Zukunft. In diesem Fall bezeichnet es eine Schadsoftware, die das Internet gezielt nach IoT-Geräten mit ARC-Prozessoren durchsucht. Auf diesen Prozessoren läuft eine reduzierte Version des Linux-Betriebssystems, das eigentlich als sehr sicher gilt. Die Malware infiziert die Geräte und zwingt sie nach Informationen des BSI dazu, sich an einen Befehls- und Steuerungsserver zu melden. Dadurch werden die Geräte in ein Botnetz integriert und sind fortan aus der Ferne steuerbar.
Entdeckt wurde das Mirai-Botnet im Jahr 2016 durch MalwareMustDie. Noch im selben Jahr hat es für einen der größten DDoS-Angriffe aller Zeiten gesorgt. Damals, im Oktober 2016, schlummerte die Mirai-Malware bereits auf unzähligen IoT-Geräten. Dann wurden die Bots aktiviert. Eine massive DDoS-Attacke richtete sich daraufhin gegen den Internet-Dienstleister Dyn. Manche Quellen sprechen davon, dass zig-Millionen IP-Adressen bei dem Angriff involviert gewesen seien.
Das Ausmaß der Attacke zeigte sich auf breiter Front, denn zu den Kunden des betroffenen Dienstleisters zählten unter anderem Twitter, Netflix, Spotify und PayPal. Sie waren infolgedessen ebenfalls von der Attacke betroffen und zeitweise nicht zu erreichen.

Mirai-Botnetz ist weiter aktiv

Dieser Fall zeigt: Die Mirai-Malware infiziert zwar vor allem Geräte in Heim-Netzwerken auf der ganzen Welt, das Mirai-Botnet richtet sich aber vielmehr an Unternehmen und sogar weltweit bedeutende Konzerne. Bisher ist gegen Mirai auch immer noch kein Kraut gewachsen. Das liegt vor allem daran, dass der Quellcode der Malware schon 2016 in diversen Hacker-Foren veröffentlicht worden ist und viele Hacker daran herumbasteln.
Dementsprechend sprießen immer wieder neue Mirai-Varianten mit neuen Funktionen aus dem Boden. Eine dieser Funktionen ist es, dass Schwärme von infizierten Geräten auch für Kryptomining (auch: Cryptomining) zweckentfremdet werden. Dabei nutzen Angreifer die infizierte Hardware, um nach Kryptowährungen zu schürfen. Außerdem heißt es, dass sich Mirai inzwischen auch nicht mehr auf Linux-Systeme beschränkt, sondern auch Windows-Systeme infizieren kann.
Es ist also zu erwarten, dass Mirai den Titel als „König der IoT-Malware“ in der näheren Zukunft abgeben müsste. Der Variantenreichtum ist und bleibt vorerst Trumpf. Hinzu kommt die stetig größer werdende Zahl an smarten, leider oft unsicheren Geräten. Die Fülle dieser Geräte sorgt dafür, dass die Betreiber von Botnetzen sozusagen wie die Maden im Speck leben.

Zu sehen ist ein Netz aus Lichtpunkten, das symbolisch für das Mirai-Botnet steht. Bild: Unsplash/Pietro Jeng

Das Mirai-Botnet nimmt ganz konkret Unternehmen ins Visier. Bild: Unsplash/Pietro Jeng

Neue Gefahr durch Home Office?

Die Drahtzieher hinter den Botnetzen infizieren immer mehr IoT-Geräte, um ihre Netze weiter aufzuspannen und darüber DDoS-Attacken laufen zu lassen, wie sich seit Anfang 2019 verstärkt beobachten lässt. Im Zuge der Corona-Krise ist es ab März 2020 zu einem neuerlichen, massiven Anstieg von Mirai-basierten Varianten gekommen. Offenbar haben die Cyberkriminellen das Chaos genutzt, um ihre Aktivitäten auszuweiten.
Hier spielt ihnen zum einen in die Karten, dass smarte Geräte längst nicht mehr nur im privaten Umfeld genutzt werden, sondern auch zunehmend in Unternehmen zum Einsatz kommen. Zum anderen hat der weit verbreitete Wechsel ins Home Office für mehr Angriffsfläche gesorgt. Warum?
Viele Unternehmen haben das Home Office von heute auf morgen möglich machen müssen. Besonders beim Remote-Zugriff auf das Firmennetzwerk haben Sie dabei die IT-Sicherheit aber häufig nicht nach allen Regeln der Kunst umsetzen können. Dadurch eröffnen sich verheerende Perspektiven: Mirai könnte die Smart-Home-Geräte im Heimnetzwerk befallen und sich darüber Zugang zum Firmennetz verschaffen.

So schützen Sie sich vor dem Mirai-Botnet

Sie fragen sich an dieser Stelle, wie Sie Ihr Unternehmen vor dem Mirai-Botnet schützen können? Wenn Sie die folgenden fünf Tipps umsetzen, haben Sie schon einmal viel gewonnen:

  • Stellen Sie sicher, dass die Firmware Ihrer IoT-Geräte immer auf dem neuesten Stand ist, indem Sie die Veröffentlichungen von Hersteller-Updates ständig im Blick behalten. Führen Sie die Updates direkt aus, um neu entdeckte – und öffentlich bekannte – Schwachstellen umgehend zu schließen.
  • Verwenden Sie ein virtuelles privates Netzwerk (VPN) für den Fernzugriff aus dem Home Office, um zu verhindern, dass wichtige Schnittstellen Ihres Unternehmensnetzwerks nicht direkt dem Internet ausgesetzt sind.
  • Indem Sie in Ihrem Unternehmen das Konzept der Netzwerksegmentierung umsetzen, sorgen Sie dafür, dass sich Infektionen nicht unkontrolliert ausbreiten können.
  • Setzen Sie auf den Schutz durch eine Firewall, kombiniert mit einem Überwachungs- und Erkennungssystem für den Netzwerkverkehr. Dadurch lassen sich Anomalien frühzeitig erkennen, und es lassen sich proaktiv Maßnahmen einleiten, um online zugängliche Schnittstellen und Zugänge zu schützen.
  • Installieren Sie ein mehrschichtiges Schutzsystem, das Bedrohungen wie Brute-Force-Angriffe erkennen, blockieren und verhindern kann.

Sie sind kein IT-Kenner und können aus diesem Grund nicht viel mit den genannten Tipps anfangen? Dann ist die fehlende Fachkenntnis leider keine Entschuldigung dafür, einfach untätig zu bleiben. Holen Sie sich besser einen Fachmann an die Seite!

IT-Experten schützen nicht nur IoT-Geräte

IT-Experten mit breitem Fachwissen – beispielweise die Experten aus dem IT-SERVICE.NETWORK – unterstützen Sie bei der Umsetzung der IT-Sicherheit in all ihren Facetten. Das beginnt schon damit, dass sie mit einer umfassenden Netzwerkanalyse die Umsetzung von Home Office in Ihrem Unternehmen auf den Prüfstand stellen. Dabei bewerten sie auch, ob die zuvor genannten Tipps ausreichend umgesetzt sind.
Ist das nicht der Fall, entwickeln unsere Fachleute in Ihrem Auftrag gern ein lückenloses IT-Sicherheitskonzept für Ihr Unternehmensnetzwerk und sorgen dafür, dass sich den Akteuren hinter Malware wie Mirai auch nicht das kleinste Schlupfloch bietet. Sie sind neugierig geworden und möchten sich zu unseren umfassenden IT-Dienstleistungen rund um die IT-Sicherheit informieren? Dann zögern Sie nicht und nehmen Kontakt zu unserem Experten in Ihrer Nähe auf.

Geschrieben von

Seit Anfang 2019 ist Janina Kröger für den Blog des IT-SERVICE.NETWORK verantwortlich – anfangs in der Position der Online-Redakteurin und inzwischen als Content Marketing Managerin. Die studierte Germanistin/Anglistin und ausgebildete Redakteurin behält das Geschehen auf dem IT-Markt im Blick, verfolgt gespannt neue Trends und Technologien und beobachtet aktuelle Bedrohungen im Bereich des Cybercrime. Die relevantesten… Weiterlesen

Fragen zum Artikel? Frag den Autor
3 Kommentare

jdub, 17. Oktober 2021 um 23:15

Sie schreiben, dass MalwareMustDie das Botnet gegründet hat. In der Quelle steht aber „found“. Ich bin mir fast sicher, dass das „entdeckt“ und nicht „gegründet“ bedeutet.

Antworten

    IT-SERVICE.NETWORK-Team, 18. Oktober 2021 um 5:34

    Guten Morgen,
    da haben Sie natürlich vollkommen recht! Vielen Dank für die Korrektur, die wir umgehend umgesetzt haben!
    Viele Grüße
    Ihr IT-SERVICE.NETWORK-Team

    Antworten

Botnet, ein Netzwerk ferngesteuerter PCs - sec-plus.de

Schreiben Sie einen Kommentar

Ihre E-Mail Adresse wird nicht veröffentlicht.


* = Pflichtfelder
Bitte beachten Sie unsere Datenschutzerklärung

Diese Website verwendet Akismet, um Spam zu reduzieren. Erfahre mehr darüber, wie deine Kommentardaten verarbeitet werden.

Aktuelle Themen zum Thema IT-Sicherheit

IT-Sicherheit

AnyDesk-Hack

Anbieter von Fernwartungssoftware ist Ziel von Cyberattacke

von • 14.02.2024

Neuer Tag, neuer Sicherheitsvorfall: Jetzt hat es AnyDesk, den Anbieter der gleichnamigen Software getroffen. Das BSI empfiehlt Unternehmen, angesichts des AnyDesk-Hacks vors...

Weiterlesen
IT-Sicherheit

Datenleck bei Trello

15 Millionen Datensätze bei Hackerangriff auf Betreiber Atlassian erbeutet

von • 12.02.2024

Cyberkriminelle konnten durch ein Datenleck bei Trello offenbar Daten von mehr als 15 Millionen Daten abgreifen. In einem Hackerforum im Darknet stehen diese Daten zum Verkauf. Wir berichten, was e...

Weiterlesen
IT-Sicherheit

Have I Been Pwned

Webseite gibt Auskunft über durch Datenlecks geleakte Konto

von • 07.02.2024

Nachrichten über Datenlecks machen immer wieder die Runde. Häufig ist Nutzern dabei gar nicht bewusst, dass auch ihre Daten geleakt worden sein könnten. Die Webseite Have I Been Pwned gibt Gewisshe...

Weiterlesen