Ein Website-Stresser oder Booter ist ein DDoS-Service mit Mietoption, der es Hackern mit wenig Erfahrung und wenig Ressourcen ermöglicht, trotzdem verheerende Angriffe auf ein Ziel durchzuführen. Ausgeklügelte Website-Stresser werden als SaaS-Angebote (Software as a Service) eingerichtet, die kostenlose Testversionen, Video-Tutorials, E-Mail-Support und abonnementbasierte Pakete mit Preisen ab rund 20 USD pro Monat umfassen.
Das Meris-Botnet ist ein extrem leistungsstarkes Botnet, das in den Jahren 2021 und 2022 Rekorde für die Größe der von ihm durchgeführten DDoS-Angriffe brach. Meris war auch aufgrund der Anzahl der infizierten Geräte, die es kontrollierte (schätzungsweise 250.000 Router), und aufgrund des Volumens der Anfragen, die es senden konnte – bis zu 46 Millionen Anfragen pro Sekunde (RPS) bei einem Angriff auf Google im Jahr 2022 – bemerkenswert.
Was ist ein Botnet?
Der Begriff Botnet ist eine Abkürzung für „Roboternetzwerk“ und bezeichnet eine Gruppe von Computern oder Geräten, die mit bösartiger Software (Malware) infiziert wurden, wodurch sie von Angreifern kontrolliert werden können. Botnets können Zehntausende von Geräten umfassen, die für koordinierte Cyberangriffe verwendet werden können. Zu den gängigen Verwendungszwecken von Botnets gehören das Versenden von Spam, der Diebstahl von Kreditkartendaten, Klickbetrug und die Generierung enormer Mengen an bösartigem Datenverkehr für DDoS-Angriffe.
Was ist ein DDoS-Angriff?
Ein Distributed-Denial-of-Service-Angriff (DDoS) ist darauf ausgelegt, Computer oder Netzwerke mit schädlichem Traffic zu überfluten, sodass dieser keine legitimen Anfragen mehr bearbeiten kann und seine Dienste für legitime Nutzer unzugänglich werden. DDoS-Angriffe zielen häufig auf die Website, Webanwendungen, APIs, das Netzwerk, das Rechenzentrum oder die DNS-Infrastruktur eines Unternehmens ab. Hacker können DDoS-Angriffe durchführen, um ein Unternehmen zu erpressen, Sicherheitsteams von anderen Formen von Cyberangriffen abzulenken, Rache zu üben, eine politische Aussage zu machen oder auch rein zum Vergnügen.
Wie funktioniert das Meris-Botnet?
Das Meris-DDoS-Botnet nutzt eine Schwachstelle im Betriebssystem (RouterOS) von Routern des lettischen Unternehmens MikroTik aus, das auch WLAN-Zugriffspunkte, IoT-Gateways, Switches und andere Geräte herstellt. „Meris“ ist das lettische Wort für Pest.
Um DDoS-Angriffe durchzuführen, konzentriert Meris volumetrische Angriffe auf die Anwendungsebene. Das Meris-Botnet sendet ein unbewältigbares Volumen an RPS an einen Zielserver, um seine CPU- und Speicherressourcenkapazität zu überlasten. Mit mehr als 250.000 Routern unter seiner Kontrolle kann das Botnet problemlos volumetrische DDoS-Angriffe mit mehreren Terabit starten, die alle Rekorde für die Größe eines Angriffs brechen können.
Experten sind der Ansicht, dass Angreifer Anfragen von anderen Geräten an die infizierten Router weiterleiten können, um die Herkunft des Angriffs zu verschleiern. Das Meris-Botnetz nutzt auch HTTP-Pipelining, wodurch eine einzelne Verbindung mehrere Anfragen übertragen kann, ohne auf die Antwort eines Servers warten zu müssen, was zur Steigerung der RPS des Botnetzes beiträgt.
Um ein leistungsfähigeres Botnet aufzubauen, wird vermutet, dass Meris eine gepatchte Schwachstelle der MikroTik-Geräte (CVE-2018-14847) ausnutzte und das von MikroTik-Routern verwendete Betriebssystem neu konfigurierte, um Remotezugriff zu ermöglichen. Dieser Angriff war selbst bei einigen gepatchten MikroTik-Routern erfolgreich, da Sicherheitsteams auch das Passwort ändern und die Firewall aktualisieren mussten, um Router davor zu schützen, Teil des Botnets zu werden.
Wie leistungsstark ist das Meris-Botnet?
Im Jahr 2021 schätzten Forscher, dass das Meris-Botnet mehr als 250.000 Geräte umfasste und dass mehr als 40.000 weitere Geräte weiterhin von der Schwachstelle betroffen waren. Die Größe des Meris-Botnet ermöglicht es ihm, riesige Netzwerke wie Internetdienstanbieter (ISPs) zu penetrieren.
Mit mehr als 250 000 Geräten konnte die maximale Kapazität von Meris rekordverdächtige 110 Millionen Anfragen pro Sekunde umfassen. Im Vergleich dazu verfügte der bis dahin größte gemessene DDoS-Angriff der Geschichte nur über etwa 20 % der Kapazität von Meris.
Das Meris-Botnetz übertifft damit eines der berüchtigtsten Botnetze, Mirai, das Hunderttausende von IoT-Geräten infizieren konnte. Mirai war jedoch durch die geringe Rechenleistung und die begrenzten Netzwerkfunktionen der IoT-Geräte eingeschränkt. Im Gegensatz dazu verwendet Meris eine Armee von Routern mit viel mehr Rechenleistung und besseren Datenübertragungsfunktionen als IoT-Geräte. Die Technologie hinter dem Meris-Botnet deutet darauf hin, dass seine Hacker Zugriff auf beträchtliche Rechenleistung und Hochgeschwindigkeits-Ethernet haben. Dies macht Meris zu einer weitaus stärkeren Bedrohung für Unternehmen, die nicht durch cloudbasierte DDoS-Abwehr geschützt sind.
Welche Unternehmen wurden angegriffen?
Das Meris-Botnet wurde eingesetzt, um eine breite Palette von Unternehmen anzugreifen. Die große Anzahl von Angriffen richtet sich gegen Unternehmen in der Bank-, Finanz- und Versicherungsbranche (BFSI). Zu den nennenswerten Angriffen zählen:
- ein Angriff auf Krebs on Security, der mehr als 2 Millionen RPS erreichte
- mutmaßliche Angriffe auf die Suchmaschine Yandex
- Ein mutmaßlicher Angriff auf das Cloud-Unternehmen Cloudflare, das 17,2 Millionen RPS verzeichnete
- Ein vermuteter Angriff auf Google im Juni 2022, der innerhalb einer Stunde von 100.000 RPS auf 46 Mio. RPS stieg. Damit gilt er als größter jemals gemeldeter Layer-7-DDoS-Angriff.
Wie können Unternehmen sich gegen das Meris-Botnet schützen?
Zum Schutz vor dem Meris-Botnet und anderen DDoS-Angriffen können Sicherheitsteams mehrere Ebenen an Cybersicherheitsschutz implementieren, darunter eine DNS-Firewall, API-Schutz, eine Web Application Firewall und umfassende DDoS-Schutzlösungen mit dedizierter Kapazität zur Abwehr von Angriffen Netzwerk-Edge eines Unternehmens, bevor diese Schaden anrichten können. Sicherheitslösungen sollten Schutz für Websites, Anwendungen, APIs, DNS-Infrastruktur (einschließlich autoritativer DNS-Nameserver, GSLB usw.) und Netzwerkinfrastruktur umfassen.
Eine leistungsstarke DDoS-Schutzlösung sollte einen durchgängigen Ansatz bieten, der dedizierte Verteidigungskapazitäten, automatisierte Workflows zur Eindämmung, eine Kombination aus maschineller und menschlicher Intelligenz sowie die Flexibilität einer Bereitstellung vor Ort, in der Cloud oder in einer Hybridumgebung für einen umfassenden und effektiven DDoS-Schutz umfasst.
Häufig gestellte Fragen (FAQ)
Ein Botnet oder Roboternetzwerk ist ein Netzwerk von Computern, die mit Malware infiziert sind und es Cyberkriminellen ermöglichen, sie zu kontrollieren. Die Person, die das Botnet kontrolliert, wird als „Bot Herder“, ein infiziertes Gerät als Bot bezeichnet. Botnets können Computer, Server, IoT-Geräte (Internet of Things) und andere Arten von elektronischen Geräten umfassen.
Um Botnet-Angriffe zu starten, sendet Ein Bot Herder Befehle von einem Command-and-Control-Server an Bots, die diese anweisen, Aktionen wie das Scannen anderer Geräte auf Schwachstellen, die Übertragung von Malware, die Verbreitung von Ransomware, Mining nach Kryptowährung, Käufe für Ticket-Scalping, das Versenden von Phishing- und Spam-E-Mails oder das Anbieten von Website-Stresser-Services durchzuführen.
Warum entscheiden sich Kunden für Akamai?
Akamai ist das Unternehmen für Cybersicherheit und Cloud Computing, das das digitale Leben unterstützt und schützt. Unsere marktführenden Sicherheitslösungen, überlegene Bedrohungsinformationen und unser globales Betriebsteam bieten ein gestaffeltes Sicherheitskonzept, um die Daten und Anwendungen von Unternehmen überall zu schützen. Die Cloud-Computing-Lösungen von Akamai bieten als Full-Stack-Gesamtpaket Performance und erschwingliche Preise auf der weltweit am stärksten verteilten Plattform. Globale Unternehmen vertrauen auf Akamai für die branchenführende Zuverlässigkeit, Skalierbarkeit und Expertise, die sie benötigen, um ihr Geschäft selbstbewusst auszubauen.