Das Arsenal der von Ransomware-Hackern verwendeten Werkzeuge wird ständig erweitert. Das Verständnis der von ihnen verwendeten Tools ist einer der ersten Schritte zum Aufbau einer wirksamen Ransomware-Abwehr.
In einem früheren Beitrag haben wir uns mit Mimikatz befasst und warum es bei Ransomware-Banden so beliebt ist. In diesem Beitrag werfen wir einen Blick auf RapperBot: was es ist, wie es funktioniert und wie Sie Ihr Netzwerk davor schützen können.
Der Ursprung von RapperBot
RapperBot wurde erstmals im Juni 2022 entdeckt, als Cybersicherheitsforscher eine neue Art von Malware entdeckten, die über 5.000 IoT-Geräte (Internet der Dinge) infiziert hatte. Frühe Versionen des Bot-Codes enthielten einen Link zu einem YouTube-Rap-Musikvideo, daher der Name
Die Malware enthielt Codesegmente von Mirai Bot, einer Malware, die dafür bekannt ist, Websites mit DDoS-Angriffenlahmzulegen. Ein Mirai-Bot-Angriff machte Twitter (jetzt X), GitHub, Netflix, Reddit und AirBnB über einen Zeitraum von mehreren Stunden für Millionen von Nutzern unzugänglich
RapperBot hat die Funktionalität des Mirai-Bots um eine Brute-Force-Funktion erweitert. Dadurch kann RapperBot SSH-Schlüssel knacken und noch mehr Geräte infizieren als Mirai. Er ist außerdem in der Lage, die Liste der autorisierten Schlüssel auf einem Gerät zu ändern, so dass das infizierte Gerät mit dem RapperBot-Botnetz verbunden bleibt, auch nachdem RapperBot von einem Gerät entfernt wurde.
Schließlich verfügt RapperBot auch über eine Verschleierungsfunktion, die das Erscheinungsbild seines Codes verändert und es Anti-Malware-Software erschwert, ihn zu erkennen. Ein wahrer Alptraum für die Cybersicherheit.
Wie funktioniert RapperBot?
Kurz gesagt, RapperBot arbeitet mit Brute-Force-Angriffen auf Geräte mit Linux-SSH-Servern. Er probiert eine große Anzahl von Benutzernamen- und Passwortkombinationen aus, bis er eine Übereinstimmung findet
Sobald er ein Gerät infiltriert hat, verschafft er sich Root-Zugriff und beginnt dann, sich auf andere Geräte zu verbreiten. Nachdem er genügend Geräte infiziert hat, bildet er ein Botnet.
Auch wenn jedes einzelne Gerät nur über begrenzte Ressourcen verfügt, sind die kollektiven Ressourcen eines Botnets mit zehntausenden infizierten Geräten enorm.
Warum nutzen Ransomware-Hacker Botnets?
Mit Zehn- oder Hunderttausenden von Geräten unter ihrer Kontrolle stehen den Hackern sowohl Rechenleistung als auch Bandbreite zur Verfügung. Dies kann für alle möglichen bösen Zwecke genutzt werden, am häufigsten fürDDoS-Angriffe ( Distributed Denial of Service). DDoS-Angriffe können eine Website mit Datenverkehr überfluten und zum Absturz bringen.
Eine wachsende Zahl von Ransomware-Hackerbanden wendet sich Ransomware-Angriffen mit dreifacher Erpressung zu. Neben der Verschlüsselung von Dateien und dem Diebstahl von Daten und der Drohung, diese freizugeben, versuchen sie, den Druck durch DDoS-Angriffe zu erhöhen.
Hacker können mit Botnets auch alle möglichen anderen Dinge anstellen. Einige Botnets kapern Computerressourcen, um Kryptowährungen zu schürfen. Andere werden eingesetzt, um nach anfälligen Netzwerken zu suchen und dort einzubrechen. In einigen Fällen verbreiten sie Spam-E-Mails, die Links zu Ransomware enthalten können.
Da Rechenzentren keine illegalen Aktivitäten zulassen, können Hacker auf Botnets zurückgreifen, um an die benötigten Computerressourcen zu gelangen. Botnets helfen ihnen auch dabei, ihren tatsächlichen Standort oder ihre Identität zu verbergen.
Was bedeuten stärkere Botnets für Ransomware?
Größere und schlechtere Botnets bedeuten mehr Ressourcen in den Händen von Hackern, was wiederum mehr Ransomware-Angriffe bedeuten könnte. Das Ransomware-Ökosystem ist stark auf Spezialisierung angewiesen. Viele Dienste, von der Ransomware-Software selbst über das Einbrechen in Netzwerke bis hin zu DDoS-Angriffen, werden von Spezialisten in Auftrag gegeben.
Das bedeutet, dass der Angreifer, der in ein Netzwerk einbricht, möglicherweise mehrere Dienstleister für die Tools bezahlt, mit denen er Geld von einem Unternehmen erpresst. Mehr Botnetze bedeuten mehr Dienste, mehr Wettbewerb auf dem Schwarzmarkt und niedrigere Preise für Hacker. Kurz gesagt, mehr Innovation bei Botnets bedeutet eine gefährlichere Bedrohungslandschaft
Was können Sie tun, um sich zu schützen?
Wir müssen anfangen, Cybersicherheit nicht nur als eine Möglichkeit zu sehen, uns selbst zu schützen, sondern auch als eine Art Gemeinschaftsdienst. Wenn wir Geräte ungesichert lassen, setzen wir uns nicht nur selbst einem Risiko aus, sondern helfen auch Hackern, andere zu Opfern zu machen.
So wie wir in der Öffentlichkeit aus Rücksicht auf andere keinen Müll auf den Boden werfen, müssen wir auch damit aufhören, unsere Zugangsdaten mit den Standardkombinationen aus Benutzername und Passwort zu hinterlassen, Patches nicht auf dem neuesten Stand zu halten und andere laxe Sicherheitspraktiken anzuwenden.
Gleichzeitig ist es wichtig, sich bewusst zu machen, wie Botnets genutzt werden, und geeignete Gegenmaßnahmen zu ergreifen. Es gelten die üblichen Ratschläge zur Cybersicherheit, aber Anti-DDoS-Software kann eine besonders nützliche Ergänzung zu einer Cybersicherheitssuite sein.
Durch den Schutz vor DDoS-Angriffen wird ein weiteres Mittel entfernt, mit dem Ransomware-Hacker Sie unter Druck setzen können, was dazu beitragen kann, das Blatt zu Ihren Gunsten zu wenden.