415.000 Router weltweit mit Crypto-Minern infiziert

Weltweit scheinen wohl 415.000 Router – darunter viele ungepatchte Mikrotik-Geräte – durch Crypto-Miner infiziert zu sein. Sicherheitsforscher sind auf diese Infektionen gestoßen.


Anzeige

Sicherheitsforscher berichten, dass über 415.000 Router auf der ganzen Welt mit Malware infiziert wurden. Deren Zweck ist es, die Rechenleistung der Geräte zum Crypto-Mining zu stehlen.

Angriff im August 2018, Schwerpunkt in Brasilien

Der Angriff, der im August 2018 begann und noch andauert, betrifft insbesondere MikroTik-Router. Sicherheitsexperten entdeckten, dass Anfangs über 200.000 Geräte infiziert wurden. Seitdem hat sich die Zahl mehr als verdoppelt. Während sich die Mehrheit der betroffenen Geräte zunächst in Brasilien konzentrierte, deuten die Daten darauf hin, dass es weltweit Tausende von betroffenen Geräten gibt.

Mikrotik-Router können gepatcht werden

Der eigentliche Skandal an der ganzen Geschichte ist, dass Mikrotik längst Firmware-Updates für Schwachstelle CVE-2018-14847 bereitgestellt hat. Der folgende Tweet macht auf diesen Sachverhalt aufmerksam.

Offenbar sind aber viele Router niemals mit Firmware-Updates versehen worden. Sicherheitsexperten von VriesHD weisen darauf hin, dass Internet Service Provider (ISPs) bei der Bekämpfung der Ausbreitung solcher Malware helfen können, indem sie Updates der Router erzwingen. The Next Web hat in diesem Artikel einige Details zusammen getragen.


Anzeige

Dieser Beitrag wurde unter Geräte, Sicherheit abgelegt und mit , verschlagwortet. Setze ein Lesezeichen auf den Permalink.

8 Kommentare zu 415.000 Router weltweit mit Crypto-Minern infiziert

  1. Malte sagt:

    Nicht nur die Updates helfen sich besser vor Cryptojacking zu schützen sondern auch der Einsatz von Backlists.
    Ich empfehle allen Nutzern die Sich vor Cryptojacking schützen wollen die CoinBlockerLists zu verwenden .
    Den Download gibt es über folgende Homepage:
    https://zerodot1.gitlab.io/CoinBlockerListsWeb/downloads.html

    • Robert sagt:

      Wer uBlock Origin am Start hat kann mit den Einträgen
      https://raw.githubusercontent.com/hoshsadiq/adblock-nocoin-list/master/nocoin.txt und
      https://zerodot1.gitlab.io/CoinBlockerLists/list_browser_UBO.txt
      in die Benutzerdefinierten Filterlisten das Gleiche erreichen.

      • Ralph D. Kärner sagt:

        Tatsächlich, Robert? Ich kann durch die Einstellungen in einem Browser-Plugin, das auf einem beliebigen Host läuft, dafür sorgen, dass mein ungepatchter Router nicht mehr von außen angegriffen und missbraucht werden kann? Das wäre mir wirklich neu.

    • Ralph D. Kärner sagt:

      Die Frage ist, Malte, wie es dem gemeinen Nutzer wohl gelingen soll, derartige Filterlisten in seinen Router zu hacken. Die Idee ist gut, aber mal unter uns: wer schon nicht in der Lage ist, reglemäßig nach Updates für seinen Router zu schauen und dieses zentrale Gerät somit auf dem aktuellsten Stand zu halten, der wird mit den Filterlisten auch nichts anfangen können.

      • Malte sagt:

        Hi @ Ralph D. Kärner,
        Ja da gebe ich dir recht, solche Leute brauchen Geräte die sich selbst zwangsaktualisieren oder dem Nutzer den Saft ab-drehen wenn keine Updates gemacht werden, aber so wie die Lage momentan ist wird es diese Art von Software in den Geräten nur selten geben.
        Bei mir wird alles immer so schnell wie möglich aktualisiert.
        Und da durch habe ich nie Probleme.

  2. Martin Feuerstein sagt:

    Hatte meinen bis dahin genutzten Hoster vor etwas mehr als einer Woche darauf aufmerksam gemacht, dass ausgehende Mails blockiert werden, weil Spamhaus einen Malware-Befall beim Rechenzentrumsbetreiber festgestellt hat (Empfänger der Mails wären Nutzer von Outlook.com/Hotmail gewesen – Microsoft lieferte ein NDR). Was sagt der Hoster: Können keinen Fehler feststellen. Hab denen noch die Mail-Header aus dem NDR geliefert und auch die IP des Servers beim Rechenzentrumsbetreibers geliefert, der auf der Blacklist (CBL/XBL) steht.

    Im Info-Beitrag von abuseat.org wurden explizit Mikrotik-Router genannt: https://www.abuseat.org/lookup.cgi.

    • Windoof-User sagt:

      Shared Hosting war schon immer eine hakelige Angelegenheit. Dedizierte Server und IP Addresses sind bezahlbar und sicher die bessere Alternative.

    • Ralph D. Kärner sagt:

      Auch das hat nichts mit dem Inhalt des Beitrags zu tun, bei dem es um im Privathaushalt oder beim KMU eingesetzte Router für den Zugang zum Internet geht. Spam ist in diesem Beitrag gar nicht erwähnt.

      Ansonsten kann ich mich meinem Vorredner nur anschließen: dedizierte Server samt eigener IP-Adresse kosten nicht die Welt.

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht.