Neues Gorilla-Botnetz löst über 300.000 DDoS-Angriffe in 100 Ländern aus
Die Cybersicherheit sieht sich einer neuen Bedrohung gegenüber, und ihr Name ist Gorilla – auch bekannt als GorillaBot. Dieses Botnetz, eine Variante des berüchtigten Mirai-Botnetzes, hat eine Flut von Distributed-Denial-of-Service-Angriffen (DDoS) ausgelöst und innerhalb weniger Wochen über 300.000 Angriffe in 100 Ländern durchgeführt. Laut dem Cybersicherheitsunternehmen NSFOCUS ereignete sich diese unerbittliche Angriffswelle zwischen dem 4. und 27. September 2024 und verursachte weltweites Chaos.
Table of Contents
Das Ausmaß der Reichweite des Gorilla-Botnetzes
In knapp einem Monat hat das Gorilla-Botnetz durchschnittlich 20.000 DDoS-Angriffsbefehle pro Tag ausgegeben. Länder wie die USA, China, Kanada und Deutschland haben sich als Hauptziele herauskristallisiert, wobei eine breite Palette von Branchen – Universitäten, Telekommunikationsanbieter, Banken und sogar die Spiel- und Glücksspielbranche – betroffen ist. Noch alarmierender ist das Ausmaß dieser Angriffe.
Das Botnetz verwendet hauptsächlich verschiedene Angriffsmethoden, darunter UDP-Flood, ACK-BYPASS-Flood, Valve Source Engine (VSE)-Flood, SYN-Flood und ACK-Flood. Diese Methoden sind darauf ausgelegt, die Zielsysteme mit Datenverkehr zu überlasten, sodass ihr normaler Betrieb erschwert oder sogar unmöglich wird. Besonders besorgniserregend sind UDP-Flood-Angriffe, die die verbindungslose Natur des UDP-Protokolls ausnutzen, um durch das Vortäuschen von Quell-IP-Adressen eine überwältigende Menge an Datenverkehr zu erzeugen.
Eine hochentwickelte Malware
Was das Gorilla-Botnetz neben seiner schieren Größe auszeichnet, ist seine Raffinesse. Das Botnetz ist so konzipiert, dass es auf mehreren CPU-Architekturen funktioniert, darunter ARM, MIPS, x86_64 und x86, wodurch es eine breite Palette von Geräten infiltrieren kann. Sobald die Malware ein System infiziert, verbindet sie sich mit einem von fünf vordefinierten Command-and-Control-Servern (C2), um neue DDoS-Befehle zu empfangen.
Darüber hinaus nutzt die Malware eine bekannte Schwachstelle in Apache Hadoop YARN RPC aus, die seit 2021 ausgenutzt wird. Auf diese Weise erreicht das Gorilla-Botnetz eine Remote-Codeausführung auf infizierten Geräten und kann so die Kontrolle über diese Systeme langfristig behalten. Die Persistenz wird durch die Erstellung von Servicedateien sichergestellt, die automatisch ein Shell-Skript ausführen, wenn das System gestartet wird oder sich ein Benutzer anmeldet.
Gegenerkennungsstrategien
Was an Gorilla wirklich beunruhigend ist, ist, wie gut es sich der Entdeckung entzieht. Laut NSFOCUS verwendet das Botnetz Verschlüsselungstechniken, um wichtige Informationen zu verschleiern, was es Cybersicherheitsexperten erschwert, die Malware zu erkennen und zu neutralisieren. Es verwendet auch Verschlüsselungsmethoden der Keksec-Gruppe, einem berüchtigten Kollektiv, das dafür bekannt ist, Malware zu entwickeln, die auf IoT-Geräte und Cloud-Systeme abzielt. Die Kombination dieser Strategien ermöglicht es dem Gorilla-Botnetz, über längere Zeiträume die Kontrolle über infizierte Geräte zu behalten, ohne entdeckt zu werden.
Warum Sie sich dafür interessieren sollten
Die schnelle Ausbreitung des Gorilla-Botnetzes und seine Fähigkeit, groß angelegte DDoS-Angriffe in so vielen verschiedenen Sektoren durchzuführen, machen es zu einer gewaltigen Bedrohung für Unternehmen, Regierungen und Privatpersonen. Da IoT-Geräte in Haushalten und Industrien immer häufiger vorkommen, steigt das Risiko von Botnetz-gesteuerten Angriffen weiter an. Für Organisationen, insbesondere in den betroffenen Sektoren, ist es entscheidend, sofort Maßnahmen zur Stärkung der Cybersicherheitsabwehr zu ergreifen, um diese Art von Angriffen abzuschwächen.
Das Auftauchen des Gorilla-Botnetzes ist ein deutlicher Hinweis darauf, dass sich Cyberbedrohungen weiterentwickeln und immer aggressiver und ausgefeilter werden. Egal, ob Sie als Privatperson IoT-Geräte zu Hause verwalten oder als Unternehmen kritische Infrastrukturen betreiben: Um diesen Bedrohungen immer einen Schritt voraus zu sein, sind ständige Wachsamkeit und proaktive Cybersicherheitsmaßnahmen erforderlich. Angesichts der Tatsache, dass Botnetze wie Gorilla in freier Wildbahn unterwegs sind, ist es jetzt nicht an der Zeit, selbstzufrieden zu sein.
Organisationen sollten eng mit Cybersicherheitsfirmen zusammenarbeiten und sich über die neuesten Schwachstellen und Bedrohungen auf dem Laufenden halten, um ihre Netzwerke zu schützen.
