Weltweit scheinen wohl 415.000 Router – darunter viele ungepatchte Mikrotik-Geräte – durch Crypto-Miner infiziert zu sein. Sicherheitsforscher sind auf diese Infektionen gestoßen.
Anzeige
Sicherheitsforscher berichten, dass über 415.000 Router auf der ganzen Welt mit Malware infiziert wurden. Deren Zweck ist es, die Rechenleistung der Geräte zum Crypto-Mining zu stehlen.
Angriff im August 2018, Schwerpunkt in Brasilien
Der Angriff, der im August 2018 begann und noch andauert, betrifft insbesondere MikroTik-Router. Sicherheitsexperten entdeckten, dass Anfangs über 200.000 Geräte infiziert wurden. Seitdem hat sich die Zahl mehr als verdoppelt. Während sich die Mehrheit der betroffenen Geräte zunächst in Brasilien konzentrierte, deuten die Daten darauf hin, dass es weltweit Tausende von betroffenen Geräten gibt.
Mikrotik-Router können gepatcht werden
Der eigentliche Skandal an der ganzen Geschichte ist, dass Mikrotik längst Firmware-Updates für Schwachstelle CVE-2018-14847 bereitgestellt hat. Der folgende Tweet macht auf diesen Sachverhalt aufmerksam.
MikroTik users need to ensure they're running the latest version of RouterOS which is patched against CVE-2018-14847. Anyone using version 6.42 or older should apply the update ASAP, available here: https://t.co/TM93fb6DiZ https://t.co/HIq7i1izQF
— Bad Packets Report (@bad_packets) 3. Dezember 2018
Anzeige
Offenbar sind aber viele Router niemals mit Firmware-Updates versehen worden. Sicherheitsexperten von VriesHD weisen darauf hin, dass Internet Service Provider (ISPs) bei der Bekämpfung der Ausbreitung solcher Malware helfen können, indem sie Updates der Router erzwingen. The Next Web hat in diesem Artikel einige Details zusammen getragen.
Anzeige
Nicht nur die Updates helfen sich besser vor Cryptojacking zu schützen sondern auch der Einsatz von Backlists.
Ich empfehle allen Nutzern die Sich vor Cryptojacking schützen wollen die CoinBlockerLists zu verwenden .
Den Download gibt es über folgende Homepage:
https://zerodot1.gitlab.io/CoinBlockerListsWeb/downloads.html
Wer uBlock Origin am Start hat kann mit den Einträgen
https://raw.githubusercontent.com/hoshsadiq/adblock-nocoin-list/master/nocoin.txt und
https://zerodot1.gitlab.io/CoinBlockerLists/list_browser_UBO.txt
in die Benutzerdefinierten Filterlisten das Gleiche erreichen.
Tatsächlich, Robert? Ich kann durch die Einstellungen in einem Browser-Plugin, das auf einem beliebigen Host läuft, dafür sorgen, dass mein ungepatchter Router nicht mehr von außen angegriffen und missbraucht werden kann? Das wäre mir wirklich neu.
Die Frage ist, Malte, wie es dem gemeinen Nutzer wohl gelingen soll, derartige Filterlisten in seinen Router zu hacken. Die Idee ist gut, aber mal unter uns: wer schon nicht in der Lage ist, reglemäßig nach Updates für seinen Router zu schauen und dieses zentrale Gerät somit auf dem aktuellsten Stand zu halten, der wird mit den Filterlisten auch nichts anfangen können.
Hi @ Ralph D. Kärner,
Ja da gebe ich dir recht, solche Leute brauchen Geräte die sich selbst zwangsaktualisieren oder dem Nutzer den Saft ab-drehen wenn keine Updates gemacht werden, aber so wie die Lage momentan ist wird es diese Art von Software in den Geräten nur selten geben.
Bei mir wird alles immer so schnell wie möglich aktualisiert.
Und da durch habe ich nie Probleme.
Hatte meinen bis dahin genutzten Hoster vor etwas mehr als einer Woche darauf aufmerksam gemacht, dass ausgehende Mails blockiert werden, weil Spamhaus einen Malware-Befall beim Rechenzentrumsbetreiber festgestellt hat (Empfänger der Mails wären Nutzer von Outlook.com/Hotmail gewesen – Microsoft lieferte ein NDR). Was sagt der Hoster: Können keinen Fehler feststellen. Hab denen noch die Mail-Header aus dem NDR geliefert und auch die IP des Servers beim Rechenzentrumsbetreibers geliefert, der auf der Blacklist (CBL/XBL) steht.
Im Info-Beitrag von abuseat.org wurden explizit Mikrotik-Router genannt: https://www.abuseat.org/lookup.cgi.
Shared Hosting war schon immer eine hakelige Angelegenheit. Dedizierte Server und IP Addresses sind bezahlbar und sicher die bessere Alternative.
Auch das hat nichts mit dem Inhalt des Beitrags zu tun, bei dem es um im Privathaushalt oder beim KMU eingesetzte Router für den Zugang zum Internet geht. Spam ist in diesem Beitrag gar nicht erwähnt.
Ansonsten kann ich mich meinem Vorredner nur anschließen: dedizierte Server samt eigener IP-Adresse kosten nicht die Welt.