Botnetz legt Web-Server lahm

Erst vor kurzem berichtete com!, wie Kriminelle über Botnetze die virtuelle Währung Bitcoins, generieren können. Über ein neues Modul in den Miner-Botnetzen haben sie jetzt sogar ganze Web-Sites stillgelegt. Opfer von derartigen Angriffen wurden laut dem Kasperky-Experten Tillmann Werner bisher 31 deutsche und 2 österreichische Sites. Dabei traf es offenbar nur Immobilienportale oder Portale aus der Lebensmittelbranche. Besonders lag der Fokus auf Pizza-Bestelldiensten. Das wohl bekannteste Opfer ist das Portal pizza.de. Um das System mutwillig zu überlasten, wurden während eines dreistündigen Angriffs rund 50.000 IP-Adressen, die etwa 20-30.000 Anfragen pro Sekunde erzeugten, gezählt.

Das Miner-Botnetz kommuniziert nicht über einen zentralen Server, sondern über gleichberechtigte Computer in einem Peer-to-Peer-Netz. Laut Tillmann Werner wurde in letzter Zeit in solche Rechner eine Datei namens „ddhttp.exe“ nachgeladen. Dabei handelt es ich um eine Variante des Bots für HTTP-Flooding-Angriffe. Damit konnten Web-Server durch massenhafte Abfrage zum Absturz gebracht werden. Ein Peer-to-Peer-Botnetz lässt sich nicht einfach abschalten. Deshalb ist über einen längeren Zeitraum mit Angriffen zu rechnen.

Zudem gab es kurz darauf auch UDP-Flooding-Attacken. Dazu wurde ein weiteres Modul zur mutwilligen Überlastung, dem sogenannten Distributed Denial of Service (DdoS), nachgeladen. Opferlisten werden von Programmen regelmäßig aus dem Botnetz bezogen. Sie enthält auch IP-Adressen von Dienstleistern, die Lösungen zur DdoS-Abwehr anbieten. Mehrere DdoS-Angriffe auf diese Firmen wurden bereits bestätigt. Demnach wurden schon mehrere Hunderttausend angreifende Systeme gezählt.

Warum die Angreifer über das Botnetz ausgerechnet finanziell eher unattraktive Opfer wie Pizza-Bestelldienste ausgesucht haben, ist noch völlig ungeklärt. Zwischenzeitlich wurden die Angriffe ausgesetzt, nach einigen Tagen dann nach Angaben von Betroffenen wieder aufgenommen.