Alles über die Bots: Was Botnet-Trends für Sicherheitsprofis bedeuten

Botnets sind zu einer festen Größe in der Bedrohungslandschaft geworden, aber sie konzentrieren sich nicht mehr primär auf DDoS-Angriffe. Heutzutage befinden sie sich in einem Entwicklungsstadium, da sie neuere, weiterentwickelte cyberkriminelle Angriffstechniken erlernen und einsetzen. Sie haben sich zu Mehrzweck-Angriffsvehikeln entwickelt, die eine Reihe von ausgefeilteren Angriffstechniken, einschließlich Ransomware, einsetzen.

So haben beispielsweise Bedrohungsakteure - einschließlich der Betreiber von Botnets wie Mirai - Exploits für die Log4j-Schwachstelle in ihre Angriffspakete integriert. Werfen wir einen Blick darauf, was wir beobachten und was diese Trends für Sicherheitsexperten und ihre jeweiligen Unternehmen bedeuten.

Der Hintergrund zu Bots

Botnets geben einen Einblick in die Aktivitäten nach der Kompromittierung, im Gegensatz zu der Seite der Cyber-Bedrohungen vor der Kompromittierung, die IPS (Intrusion Prevention System) und Malware-Trends normalerweise zeigen. Einmal infizierte Systeme versuchen oft, mit entfernten Hosts zu kommunizieren, so dass dieser Datenverkehr ein wichtiger Bestandteil der Überwachung des gesamten Umfangs bösartiger Aktivitäten ist. Im ATT&CK-Jargon ist der Botnet-Verkehr ein wichtiges Indiz für Command and Control (C2) TTPs. Wir haben festgestellt, dass die am weitesten verbreiteten Botnets auf unseren Sensoren im Laufe der Zeit in der Regel gleich bleiben, vor allem, weil anhaltende Kontrolle ein wertvolles Gut für Cyberkriminelle ist und sie viel Arbeit in die Erhaltung ihrer Investitionen in bösartige Infrastrukturen stecken. Aus diesem Grund sind die erfolgreichsten Botnets durch ihre Beständigkeit im Laufe der Zeit beeindruckend. In der zweiten Jahreshälfte 2021 haben wir gesehen, dass die größten Namen der Botnets - Mirai, ZeroAccess und Pushdo - weiterhin die Oberhand behalten.

Die neuen Bots auf dem Vormarsch

Dennoch gab es auch für die vielen neuen Bots, die sich in der Welt der Bots etabliert haben, reichlich Bildschirmzeit.

Abgesehen von den oben genannten drei großen Bots wurden im Juli und August vermehrt Warzone RAT entdeckt, das aufgrund seines Rufs als kostengünstiges Malware-as-a-Service-Tool mit hohem Funktionsumfang auch als "BargainZone RAT" bezeichnet werden könnte. Blackberrys Beschreibung des RAT als "die Wahl für aufstrebende Bösewichte mit kleinem Budget" ist sehr treffend. In einer Zeit, in der der Markt für Cyberkriminalität immer mehr zur Massenware wird, hat Warzone ein erfolgreiches Geschäftsmodell entwickelt.

Es ist auch erwähnenswert, dass wir im September und Oktober einen Anstieg der RedLine Stealer-Malware beobachten konnten, insbesondere im Nahen Osten und in Europa. Technisch gesehen handelt es sich dabei nicht um einen neuen Schädling, sondern um einen, den es mindestens seit Anfang 2020 gibt und der von Cyberkriminellen genutzt wird, um Anmeldedaten von infizierten Systemen zu stehlen. Darüber hinaus handelt es sich bei diesem Anstieg wahrscheinlich nicht um einen Einzelfall, da die Entwickler von RedLine die Malware regelmäßig anpassen, um neue Opfer zu finden. Tatsächlich entdeckte FortiGuard Labs vor kurzem eine neue Variante in Form einer COVID-ähnlichen Datei, "Omicron Stats.exe". Es wird nicht die letzte sein.

Selbst wenn es Sicherheitsexperten und Strafverfolgungsbehörden gelingt, eine Bedrohung auszuschalten, ist ihr Erfolg manchmal nur von kurzer Dauer. Die koordinierte Zerschlagung von Emotet im April 2021 war eine große Sache für die Cybersicherheitswelt - nur um im November wieder aufzutauchen. Allerdings war das Comeback schwach. Die Emotet-Aktivitäten sind deutlich geringer als früher und weltweit nicht annähernd so weit verbreitet. So beschränkten sich beispielsweise zwei Drittel der Entdeckungen auf die Region Lateinamerika, wo die Aktivität 25-mal höher war als in Europa und Nordamerika.

Kampf gegen die Geißel der Bots

Was lässt sich also aus all dem mitnehmen? Der wichtigste Punkt ist, dass Botnets immer raffinierter werden - und dass sie alle möglichen Angriffstechniken einsetzen. Der Schutz Ihres Unternehmens vor Botnet-Bedrohungen erfordert einen ganzheitlichen, integrierten Sicherheitsansatz. Punktuelle Produkte müssen durch Sicherheitsgeräte ersetzt werden, die als einheitliche Lösung arbeiten und jeden Benutzer, jedes Gerät und jede Anwendung konsequent schützen. Dieser Ansatz ermöglicht auch eine zentrale Verwaltung, um sicherzustellen, dass Richtlinien konsequent durchgesetzt werden, Konfigurationen und Updates zeitnah bereitgestellt und verdächtige Ereignisse zentral erfasst und korreliert werden. Auch kann man für mehr Sicherheit privaten Browser verwenden, damit ihre Daten nicht gestohlen werden können. Darüber hinaus ist es wichtig, Ihre Linux-Systeme und OT-Umgebungen zu sichern, indem Sie Tools zum Schutz, zur Erkennung und zur Reaktion auf Bedrohungen in Echtzeit hinzufügen. Auch bei der Einführung neuer Technologien, sei es bei der Aufrüstung von Windows-Systemen oder beim Hinzufügen satellitengestützter Konnektivität, sollten Sie einen sicherheitsorientierten Ansatz verfolgen, um sicherzustellen, dass Schutzmaßnahmen vorhanden sind, bevor Sie diese in Ihr Netzwerk integrieren. Setzen Sie außerdem Verhaltensanalysen ein, um Angriffe während der ersten Erkundungs- und Sondierungsmaßnahmen zu entdecken und zu blockieren, um Probleme zu vermeiden, die entstehen können, wenn sie erst später in der Angriffskette entdeckt werden.

Darüber hinaus sollten Sie im gesamten Netzwerk KI- und maschinelle Lernfunktionen einsetzen, um das normale Verhalten zu erfassen, Bedrohungsdaten zu korrelieren, sofort auf Änderungen zu reagieren und ausgeklügelte Bedrohungen zu erkennen und zu deaktivieren, bevor sie ihre Nutzdaten ausführen können. Ziehen Sie Täuschungstechnologien in Betracht, um traditionell passive Sicherheit in aktive Verteidigungssysteme zu verwandeln.

Wenn Sie warten, ist es zu spät

In diesem Jahr werden wir wahrscheinlich Cyberangriffe in rekordverdächtigem Umfang und mit rekordverdächtiger Bösartigkeit erleben. Die Integration von Netzwerk- und Sicherheitstools in eine integrierte, proaktive Cybersicherheits-Mesh-Architektur ist von entscheidender Bedeutung, wenn Sie Ihr Unternehmen heute vor der nächsten Generation von Bedrohungen schützen wollen. Ein breiter Einsatz, tiefe Integration und dynamische Automatisierung sollten die Kennzeichen jedes Sicherheitssystems sein, das zum Schutz von Netzwerken eingesetzt wird. Wenn Sie mit diesen notwendigen Änderungen bis zu einem unbestimmten Zeitpunkt in der Zukunft warten, könnte es bereits zu spät sein.