Barracuda full logo

Die wichtigsten Bedrohungen der Botnet-Landschaft von 2024

Themen:
21. März. 2025
|
Christine Barry

In unserem letzten Beitrag über Botnets wurden die Terminologie, Architekturen und Fähigkeiten dieser vielseitigen Angriffstools untersucht. In diesem Beitrag werden die dominantesten Botnets des letzten Jahres genauer unter die Lupe genommen. 

Das größte bekannte Botnet war das 911 S5-Botnet, das 2024 zerschlagen wurde. Auf dem Höhepunkt waren etwa 19 Millionen Bots in 190 Ländern aktiv. 911 S5 wurde über infizierte VPN-Anwendungen wie MaskVPN, DewVPN, ShieldVPN und einige mehr verbreitet. Ein Botnet könnte PCs, Unternehmensserver, Mobilgeräte und Geräte des Internet der Dinge (IoT) wie intelligente Thermostate, Kameras und Router umfassen. Die Zusammensetzung des Botnets hängt von der Malware ab. Das neue Botnet Eleven11bot beispielsweise verwendet ausschließlich HiSilicon-basierte Geräte mit der Software TVT-NVMS9000, da die Malware darauf ausgelegt ist, eine einzige Schwachstelle auf diesen Geräten auszunutzen. Dies begrenzt die Zusammensetzung und Größe des Botnets, obwohl der Botmaster möglicherweise neue Funktionen hinzufügt, um das Netzwerk zu erweitern. 

Der Schaden durch Botnet-Angriffe manifestiert sich auf vielfältige Weise: Geschäftsunterbrechungen, großflächiger Datendiebstahl, Ransomware-Verteilungskampagnen und sogar Cryptojacking-Aktivitäten, bei denen Computerressourcen zum Mining von Kryptowährungen gekapert werden. Zu den kaskadierenden Auswirkungen dieser Angriffe zählen Datenlecks, finanzielle Verluste und Reputationsschäden, deren Überwindung Jahre dauern kann.

Botnets, Botmaster und Fähigkeiten ändern sich ständig. Wie bei Ransomware-Bedrohungen möchten Botmaster und verbundene Bedrohungsakteure die Reichweite ihrer Angriffe erweitern. Sie mögen sich auf eine bestimmte Art von Verbrechen spezialisiert haben, aber sie werden ihre Operationen erweitern, um mehr Geräte zu infizieren und ihre Netzwerke redundant zu gestalten. Es ist nicht klar, wie viele Botnets gleichzeitig aktiv sind oder wie viele jedes Jahr auftauchen oder gestört werden. Die Botnet-Aktivität wird normalerweise anhand von Angriffmetriken und nicht anhand der Anzahl und Größe der Botnets gemessen. Eine aktuelle Studie ergab jedoch, dass die Aktivität von Botnets immer stärker und zerstörerischer wird. Einige wichtige Erkenntnisse:

  • Die Gesamtzahl der DDoS-Angriffe im Jahr 2024 stieg im Vergleich zu 2023 um 53 %.
  • Der stärkste DDoS-Angriff des Jahres 2024 erreichte einen Höchstwert von 1,14 Tbps und lag damit 65 % über dem Vorjahresrekord von 0,69 Tbps.
  • Das größte Botnet, das wir 2024 entdecken, bestand aus 227.000 Geräten (verglichen mit dem größten Botnet im Jahr 2023, das „nur“ etwa 136.000 Geräte umfasste). Dieses rasante Wachstum der Botnets ist auf die steigende Anzahl veralteter Geräte in Entwicklungsländern zurückzuführen.

Die Studie ergab außerdem, dass Multi-Vektor-Angriffe im Jahr 2023 um 8 % zunahmen. Dies bedeutet, dass der Angriff ausgefeilt genug ist, um dasselbe Ziel auf mehrere Arten anzugreifen. Wir werden uns in einem zukünftigen Beitrag mit Multivektor-Angriffen befassen.

Die besten Botnets des Jahres 2024

Wir können nicht auf alle Botnets eingehen, die im letzten Jahr aktiv waren, aber wir können einige von ihnen untersuchen. Dies sind einige der dominantesten des Jahres 2024.

Phorpiex Botnet

Phorpiex ist seit über einem Jahrzehnt aktiv, mit Ausnahme von etwa fünf Monaten im Jahr 2021, als der ursprüngliche Betreiber das Netzwerk abschaltete und den Quellcode verkaufte

Teilscreenshot eines Forenbeitrags, der für den Verkauf von Phorpiex wirbt

Teilscreenshot eines Forenbeitrags, der für den Verkauf von Phorpiex wirbt

Im Dezember desselben Jahres war es wieder online, und zwar unter den Namen „Trik“ oder „Twizt“. Die neue Version konnte im Peer-to-Peer-Modus arbeiten, was die Ausfallsicherheit erhöhte, da keine Command-and-Control-Server (C2C) mehr benötigt wurden. Phorpiex wird hauptsächlich zur Verbreitung von Ransomware über massive Spam-Kampagnen verwendet. Es wurde auch besonders mit Erpressungskampagnen und der Verbreitung von Malware und Ransomware-Nutzdaten in Verbindung gebracht. Im April 2024 identifizierte die New Jersey Cybersecurity and Communications Integration Cell (NJCCIC) eine LockBit-Ransomware-Kampagne, die vom Phorpiex-Botnetverbreitet wurde. Dies war einer der bemerkenswertesten Phorpiex-Angriffe im Jahr 2024.

Diese Malware wurde mehreren Änderungen unterzogen, um den Security-Maßnahmen immer einen Schritt voraus zu sein. Die Updates konzentrieren sich in der Regel auf die Verbesserung der Spam-Verteilungsfunktionen des Botnets und die Verbesserung seiner Fähigkeit, andere Malware-Nutzdaten effektiv zu liefern. Die Betreiber nutzten auf dem Höhepunkt der Pandemie die Vorteile der Fernarbeitskräfte geschickt aus, indem sie Schwachstellen in Anwendungen wie Zoom ausnutzten. Die auf diese Weise erlangten Informationen wurden zur Feinabstimmung ihres Erpressungsmaterials verwendet.

Phorpiex ist nicht das ausgeklügelteste Botnet, aber sein Einsatz bei der Verbreitung von Ransomware und bei Phishing-Kampagnen hat es zu einer der größten volumenbasierten Bedrohungen des Jahres 2024 gemacht.

Androxgh0st Botnet

Androxgh0st wurde Ende 2022 von Forschern identifiziert, könnte aber schon früher aktiv gewesen sein. Analysten fanden Code-Ähnlichkeiten mit Mozi-Botnet-Malware und beobachteten, wie Androxgh0st Mozi-Payloads gegen IoT-Geräte einsetzte. Dies ist eine wichtige Verbindung zwischen den beiden und führt zu der Theorie, dass Androxgh0st eine Integration oder Weiterentwicklung von Mozi war. Das Mozi-Botnet ist im August 2023 „verschwunden“, und es ist nicht endgültig bekannt, ob Mozi abgeschaltet wurde oder ob es vollständig mit Androxgh0st verschmolzen ist. Das Federal Bureau of Investigation (FBI) und die Cybersecurity and Infrastructure Security Agency (CISA) veröffentlichten im Januar 2024 einen gemeinsamen Cybersecurity Advisory (CSA):

Die malware Androxgh0st richtet ein Botnet zur Identifizierung und Ausnutzung von Opfern in anfälligen Netzwerken ein und zielt auf Dateien ab, die vertrauliche Informationen wie Zugangsdaten für verschiedene hochkarätige Anwendungen enthalten.

FBI und CISA geben gemeinsame Cybersecurity-Empfehlung zu androxgh0st heraus

FBI und CISA geben gemeinsame Cybersecurity-Empfehlung zu androxgh0st heraus

Security-Forscher vermuten „mit geringer Sicherheit“, dass AndroxGH0ST von Bedrohungsakteuren betrieben wird, die sich den Interessen der Volksrepublik China (VR China) angeschlossen haben. und stellt eine neue Generation hybrider Botnets dar, die Fähigkeiten aus mehreren Quellen kombinieren.  Das Botnet zielt auf Windows-, Mac- und Linux-Systeme ab und nutzt PCs, Webserver und IoT-Geräte aus. Diese Funktionen erweitern die Reichweite des Botnets in Netzwerken und im globalen Internet. Viele halten Androxgh0st für eine erhebliche Bedrohung für kritische Infrastrukturen und die nationale Sicherheit.

Was dieses Botnet auszeichnet, sind seine umfassenden Ausnutzungsmöglichkeiten. Es zielt auf Schwachstellen in VPNs, Firewalls, Routern und Web-Applikationen ab, was ihm eine außergewöhnliche Vielseitigkeit bei der Kompromittierung verschiedener Systemtypen verleiht. Diese Anpassungsfähigkeit macht es besonders schwierig, sich dagegen zu verteidigen. Androxgh0st ist bekannt für die Vielfalt seines Angriffsportfolios, einschließlich DDoS-Angriffen, Datendiebstahl und Cloud-orientiertem Diebstahl von Zugangsdaten.

Gafgyt (Bashlite) Botnet

Gafgyt, ursprünglich Bashlite genannt, ist ein Botnet, das IoT-Geräte und Linux-basierte Systeme befällt. Es wurde erstmals um 2014 herum beobachtet und hat sich erfolgreich an die Fortschritte in der Cybersecurity und Bedrohungsanalyse angepasst.  Es gibt mehrere Varianten, darunter einige, die Mirai-Botnet-Code integriert haben, um die Befehls- und Angriffsmöglichkeiten zu erweitern. Auf Gafgyt basierende Botnets sind zu Brute-Force- und DDoS-Angriffen, zum Diebstahl von Zugangsdaten und zum GPU-gestützten Kryptomining fähig. Gafgyt tötet auch jede konkurrierende Malware, die bereits auf dem System gefunden wurde.

 

Visueller Angriffsablauf der Gafgyt-Botnet-Malware-Variante

Visueller Angriffsablauf der Gafgyt-Botnet-Malware-Variante

Im Jahr 2024 begann Gafgyt, Cloud-native Umgebungen ins Visier zu nehmen, um rechenintensivere Operationen durchführen zu können. Es hat sich als besonders effektiv bei der Infektion von WLAN-Routern von Herstellern wie TP-Link und Zyxel erwiesen. Es wird derzeit als Botnet-as-a-Service (BaaS) betrieben und ist mit einem Bedrohungsakteur namens Keksec, auch bekannt als FreakOut, verknüpft.

Gafgyt nutzt schwache Passwörter und bekannte Schwachstellen in IoT-Geräten und Cloud-Umgebungen aus. Es scheint derzeit einen doppelten Fokus zu haben, nämlich einerseits Einnahmen durch Kryptomining zu generieren und andererseits die Fähigkeit aufrechtzuerhalten, leistungsstarke Multivektor-DDoS-Angriffe zu starten. Dies macht es attraktiv für Kriminelle, die nach mehreren Einnahmequellen durch eine einzige *-as-a-Service-Operation suchen.

Mirai Botnet

Mirai hat eine interessante Geschichte. Es wurde 2016 von Paras Jha, Josiah White und Dalton Norman gegründet. Jha und seine Mitarbeiter haben Mirai so konzipiert, dass es gezielt DDoS-Angriffe gegen konkurrierende Server startet, und boten dann über ihr Unternehmen ProTraf Solutions Schutzdienste für diese Server an. Brian Krebs war maßgeblich an der Untersuchung beteiligt, die die Mirai-Botmaster vor Gericht brachte. Krebs' Berichterstattung finden Sie hier und weitere Hintergrundinformationen hier.

 

Mirai-Quellcode-Leak in Hackforums, über KrebsOnSecurity

Mirai-Quellcode-Leak in Hackforums, über KrebsOnSecurity

Das Leck des Mirai-Quellcodes war ein Wendepunkt in der Cybersecurity. Betrachten Sie die unmittelbaren und langfristigen Auswirkungen:

  • Die Hürden für den Start eines Botnets wurden gesenkt, da jeder mit grundlegenden technischen Kenntnissen den Mirai-Code als Ausgangspunkt verwenden konnte. Dies führte zu einem Anstieg der DDoS-Angriffe und einer Verbreitung hybrider Botnetze, die Mirai-Funktionen integrierten. Beim Angriff auf Dyn im Jahr 2016 wurde eine Mirai-Variante verwendet.
  • Mirai legte die Risiken der Verwendung von Standard-Zugangsdaten und -konfigurationen auf IoT-Geräten offen. Vor Mirai und der Verbreitung von Botnetzen waren die Risiken für IoT-Geräte rein theoretischer Natur. Nach dem Leck beschleunigte die Branche die IoT-Security-Standards.
  • Der durchgesickerte Code wurde zum Beschleuniger für neue Bedrohungen. Indem sie mit einer funktionierenden Botnet-Malware beginnen, könnten sich Bedrohungsakteure auf die Entwicklung neuer Fähigkeiten wie Kryptowährungs-Mining und Multivektor-DDoS-Angriffe konzentrieren.

Mirai ist auf leistungsstarke DDoS-Angriffe spezialisiert, die von IoT-Geräten gestartet werden. Mehrere Anbieter haben herausgefunden, dass etwa 72 % der neuen IoT-Malware Mirai-Code enthalten. Dies könnte auf die ursprüngliche Brute-Force-Logik und die Befehls- und Kontrollprotokolle zurückzuführen sein, die normalerweise in neue Varianten geklont werden.

Eine fließende Landschaft

Die weltweite Bedrohung durch Botnetze verändert sich ständig.  Wenn ein Botnet durch Strafverfolgungsmaßnahmen oder Sicherheitsmaßnahmen neutralisiert wird, entstehen schnell neue Varianten oder völlig neue Botnetze, um die Lücke zu füllen. Diese ständige Entwicklung stellt Verteidiger, die Vermögenswerte vor aktuellen und zukünftigen unbekannten Bedrohungen schützen müssen, vor erhebliche Herausforderungen. Wir können jedoch mehrere wichtige Trends in der Botnet-Landschaft erkennen:

  • Zunehmende Spezialisierung: Einige Botnetze konzentrieren sich auf bestimmte Angriffsarten oder Ziele.
  • Ausgefeiltere Umgehungstechniken, die die Erkennung und Zuordnung erschweren.
  • Die Kommerzialisierung von Botnet-Funktionen durch „Botnet-as-a-Service“-Modelle.
  • Die Konvergenz der Botnet-Fähigkeiten, beispielsweise mehrere Angriffsvektoren oder Einnahmequellen aus einem einzigen Botnet.
  • Strategische Positionierung von Botnet-Ressourcen in Ländern mit begrenzter internationaler Zusammenarbeit bei der Verfolgung von Cyberkriminalität.

Ein wirksamer Botnet-Schutz entsteht durch die Kombination von technologischen Lösungen mit menschlichem Bewusstsein und organisatorischer Bereitschaft. Indem sie sich über neu auftretende Cybersecurity-Bedrohungen auf dem Laufenden halten und umfassende Security-Maßnahmen implementieren, können Organisationen und Einzelpersonen ihre Schwachstelle gegenüber diesen mächtigen und anhaltenden Cybersecurity-Bedrohungen erheblich reduzieren.

Abwehr und Bot-Schutz

Der Schutz vor Botnet-Bedrohungen erfordert einen mehrschichtigen Ansatz, der sowohl die Infektionsprävention als auch die Abwehr von Angriffen berücksichtigt. Barracuda Advanced Bot Protection ist das ultimative Werkzeug zur Bekämpfung von Multivektor-Botnetzangriffen. Durch die Bereitstellung proaktiver Abwehrmechanismen, verbesserter Transparenz und anpassbarer Kontrollen werden Unternehmen in die Lage versetzt, sich zu schützen und ihre Wettbewerbsfähigkeit in einer zunehmend automatisierten Welt zu erhalten. 

 

 

 

Christine Barry

Christine Barry ist Senior Chief Blogger und Social Media Manager bei Barracuda.  Bevor sie zu Barracuda kam, war Christine über 15 Jahre lang als Außendiensttechnikerin und Projektmanagerin für K12- und KMU-Kunden tätig.  Sie hat mehrere Zugangsdaten für Technologie und Projektmanagement, einen Bachelor of Arts und einen Master of Business Administration. Sie ist Absolventin der University of Michigan.

Vernetzen Sie sich hier auf LinkedIn mit Christine.

Verwandte Beiträge:
Threat Spotlight: Entschlüsselung eines schleichenden neuen Phishing-Kits, das Microsoft 365 ins Visier nimmt
Threat Spotlight: Entschlüsselung eines schleichenden neuen Phishing-Kits, das Microsoft 365 ins Visier nimmt
 Jenseits von MITM: Die zunehmende Gefahr von Adversary-in-the-Middle-Angriffen
Jenseits von MITM: Die zunehmende Gefahr von Adversary-in-the-Middle-Angriffen
 Cyberkriminelle werden immer jünger und gefährlicher
Cyberkriminelle werden immer jünger und gefährlicher
Lazarus-Gruppe: Eine kriminelle Vereinigung mit einer Fahne
Lazarus-Gruppe: Eine kriminelle Vereinigung mit einer Fahne
Den Blog durchsuchen

Der Ransomware Insights Bericht 2025

Wichtige Erkenntnisse über die Erfahrungen und Auswirkungen von Ransomware auf Unternehmen weltweit

Zum Report

Abonnieren Sie den Barracuda-Blog.

Melden Sie sich an, um aktuelle Bedrohungsinformationen, Branchenkommentare und mehr zu erhalten.

Managed Vulnerability Security: Schnellere Behebung von Schwachstellen, weniger Risiken, einfachere Compliance 

Erfahren Sie, wie einfach es sein kann, die von Cyberkriminellen bevorzugte Schwachstellen zu finden.

WEBINAR ANSEHEN

Melden Sie sich an, um aktuelle Bedrohungsinformationen, Branchenkommentare und mehr zu erhalten.

Erhalten Sie die neuesten Nachrichten, Forschungsergebnisse und Analysen direkt in Ihren Posteingang.