Die Botnet-Gruppierung KashmirBlack hat in den letzten elf Monaten mindestens 230.000 Websites infiziert. Die Hacker nutzen dabei eine seit zehn Jahren bekannte Schwachstelle aus, die PHPUnit-RCE-Sicherheitslücke, und zielen vor allem auf CMS-Systeme wie Wordpress, Joomla oder Drupal. Zu unter anderem diesen Ergebnissen kam Imperva, Anbieter von Cybersicherheits-Lösungen, nach einer sechsmonatigen Untersuchung.
Die Angreifer profitieren damit von der Corona-Pandemie, die viele Unternehmen zwang, ihre Prozesse schnell zu digitalisieren und auf einfache Web-Frameworks wie Wordpress setzen mussten. Das Botnet ist derzeit in über 30 Ländern aktiv und installiert automatisierte Schadprogramme auf den gekaperten Rechnern.
Die Experten von Imperva schätzen das Bot-Netzwerk als überdurchschnittlich ausgereift ein. Eine Erweiterung der gut durchdachten Infrastruktur kann ohne großen Aufwand um neue Exploits und Payloads erfolgen. Zudem kann sich das Botnet sehr gut tarnen und bleibt so lange Zeit unentdeckt. Der Bot weicht zur Zwischenablage auch auf populäre Command-and-Controll-Kontrolldomänen wie Pastebin, Github, aber auch auf Dropbox-Server aus, so die weiteren Angaben des Sicherheitsanbieters.
Die Schäden durch die Angriffe reichen von gestörter Web-Performance bis hin zu Denial-of-Service-Server-Ausfällen. Sobald ein Server von der Schadsoftware befallen ist, besteht die Gefahr, dass der Bot weitere Server infiltriert – ein Teufelskreis, der zu erheblichen Schäden in Form von zuerst Daten- und dann Einnahmeverlusten bis zur Rufschädigung bei den betroffenen Unternehmen führt.
Weitere Informationen stehen unter www.imperva.com zur Verfügung.