Schwerpunkte

IoT-Botnets

Angriffswelle auf Heim-Router

21. Juli 2020, 11:01 Uhr   |  Lukas Steiglechner | Kommentar(e)

Angriffswelle auf Heim-Router
© Alphaspirit / 123rf

Cyberkriminelle versuchen, private Heim-Router zu kompromittieren, um sie in IoT-Botnets einzusetzen. Da die Täter versuchen, so viele Geräte wie möglich unter ihre Kontrolle zu bringen, verdrängen sie sich auch oft gegenseitig von den infizierten Geräten. Doch wie können sich Verbraucher schützen?

Im letzten Quartal 2019 nahmen laut Trend Micro, einem Anbieter von IT-Sicherheit, Cyberangriffe auf Router stark zu. Die Router werden nach einem erfolgreichen Angriff als Teil eines IoT-Botnets für Sekundär-Angriffe auf andere Systeme missbraucht.

Trend Micro, Brute-Force-Anmeldungen, Botnet
© Trend Micro

Die Zahl der Versuche, sich mit Brute-Force-Anmeldungen Zugang zu Heim-Routern zu verschaffen, ist von Januar 2019 bis März 2020 stark gestiegen.

Untersuchungen von Trend Micro zufolge haben Cyberkriminelle seit Oktober 2010 vermehrt Brute-Force-Anmeldeversuche gegen Router unternommen. Eine automatisierte Software probiert dabei gängige Passwortkombinationen aus, um den Router zu kompromittieren. Die Zahl der Angriffe ist von 23 Millionen Versuchen im September auf 249 Millionen Versuche im Dezember 2019 angewachsen – eine Verzehnfachung. Diese Entwicklung bleibt laut Trend Micro bestehen, denn im März 2020 verzeichneten sie 194 Millionen versuchte Brute-Force-Anmeldungen. Udo Schneider, IoT Security Evangelist Europe bei Trend Micro, warnt dabei: "Cyberkriminelle sind sich bewusst, dass die Mehrheit der Home-Router nicht ausreichend gesichert sind – beispielsweise durch Standard-Passwörter – und verstärken deshalb ihre Angriffe. Für Privatanwender bedeutet das, dass ihre Bandbreite gekapert und ihr Netzwerk verlangsamt wird. Gleichzeitig können infizierte Router in Homeoffice-Situationen auch als Eintrittspunkt in Unternehmensnetzwerke dienen, wenn diese nicht richtig geschützt sind." Besitzer von privaten Routern können also eine Infektion ihres Geräts daran erkennen, dass sie plötzliche Leistungsprobleme haben. Wenn ein infizierter Router als Teil eines Cyberangriffs missbraucht wird, landet die IP-Adresse auf einer schwarzen Liste, was oft eine Abkopplung vom Internet oder Unternehmensnetzwerken zur Folge hat.

Trend Micro, Telnet-Aktivitäten, Botnets
© Trend Micro

Die Telnet-Verbindungsversuche (schwarze Balken) zeigen, wie oft eine Verbindung von IoT-Geräten hergestellt werden sollte. Dabei ist die Anzahl der Geräte, die diese Versuche starten, (blaue Linie) als infizierte Geräte zu betrachten. Das zeigt, dass es gelungen ist, ein wesentlich größeres Botnet-Netzwerk durch Telnet-Verbindungen zu schaffen.

Ein weiteres Anzeichen für einen erfolgreichen Cyberangriff ist, dass die Router versuchen, Telnet-Sitzungen mit anderen IoT-Geräten zu öffnen. Die Angreifer nutzen Telnet als Möglichkeit, um Anmeldeinformationen auszuspionieren. Mitte März 2020 haben fast 16.000 Geräte innerhalb einer Woche versucht, Telnet-Sitzungen mit anderen IoT-Geräten zu öffnen. Da Cyberkriminelle hier miteinander konkurrieren, werden die Zugangsdaten der Router in Untergrundforen verkauft, um diese für Distributed-Denial-of-Service-Angriffe (DDoS-Angriffe) zu nutzen oder Verbrechen wie Klickbetrug, Datendiebstahl und Kontenübernahmen zu anonymisieren.

Der Markt um Botnet-Malware und Miet-Botnets floriert und wächst. Dabei stehen besonders Router im Fokus der Angriffe, da diese einfach zugänglich und direkt mit dem Internet verbunden sind. Deshalb sollten Verbraucher, vor allem wenn sie sich in einer Homeoffice-Situation befinden, darauf achten, ihre Geräte ausreichend zu schützen. Dafür ist es wichtig, ein starkes Passwort zu nutzen, das nicht einfach zu knacken ist, und dieses auch ab und an zu ändern. Von ebenso zentraler Bedeutung ist, dass die Geräte immer mit der aktuellsten Firmware laufen. Besitzer sollten also auch regelmäßig Updates und Patches installieren. Die Geräteeinstellungen sollten so sicher wie möglich gestaltet sein und auch nur Anmeldungen aus dem lokalen Netzwerk erlauben. Zuletzt macht es auch Sinn, Log-Einträge auf Unregelmäßigkeiten zu überprüfen und so zu kontrollieren, dass kein unerlaubter Zugriff stattgefunden hat.

Auf Facebook teilenAuf Twitter teilenAuf Linkedin teilenVia Mail teilen

Verwandte Artikel

TREND MICRO Deutschland GmbH