Akamai Technologies hat seinen aktuellen „State of the Internet“-Sicherheitsbericht vorgestellt. Dazu haben die Sicherheitsspezialisten nach eigenen Angaben Daten von mehr als 14 Billionen DNS-Abfragen aus den Netzwerken von Kommunikationsdiensten weltweit ausgewertet, die sie zwischen September 2017 und Februar 2018 erfasst haben. Seit mehr als 19 Jahren nutzt Nominum, eine Firma, die 2017 von Akamai übernommen wurde, umfassende DNS-Daten, um den Schutz vor komplexen Cyberangriffen wie Distributed Denial of Service (DDoS), Ransomware, Trojaner und Botnets, zu verbessern. Der Carrier Insight Report von Akamai baut auf die Expertise von Nominum auf und zeigt die Wirksamkeit von DNS-basierender Sicherheit, die mit Daten aus anderen Sicherheitsebenen erweitert wird, so die Akamai-Experten. Bei diesem mehrschichtigen Sicherheitsansatz kommen verschiedene Sicherheitslösungen zum Einsatz, die zusammen für einen ganzheitlichen Schutz von Unternehmensdaten sorgen sollen.

„Man muss die Angriffe gegen einzelne Systeme als Ganzes sehen, um sich gegen die komplizierte Bedrohungslandschaft von heute wappnen zu können“, erklärte dazu Yuriy Yuzifovich, Director of Data Science, Threat Intelligence bei Akamai. „Die Kommunikation über verschiedene Plattformen hinweg ist wichtig. Wir sind der Meinung, dass Sicherheitsteams mit den durch unseren Service bereitgestellten DNS-Anfragen alle notwendigen Daten an die Hand bekommen, um ein Gesamtbild der Bedrohungslandschaft zu erhalten.“

Die Zusammenarbeit der Teams von Akamai spielte demnach eine entscheidende Rolle bei der Identifizierung der Mirai-C&C-Domänen (Command and Control). Das Security Intelligence and Response Team (SIRT) von Akamai verfolgte Mirai von Beginn an mithilfe von Honeypots, um Mirai-Kommunikationen und deren C&C-Server zu erkennen, so die Experten weiter.

Ende Januar 2018 gaben das SIRT von Akamai und die Teams von Nominum eine Liste mit über 500 verdächtigen Mirai-C&C-Domänen heraus. Ziel war es, zu untersuchen, ob diese C&C-Liste durch die Verwendung von DNS-Daten und künstlicher Intelligenz ergänzt und künftige Mirai-Erkennung dadurch vereinfacht werden können. Dank einer mehrstufigen Analyse konnten die Teams den Mirai-C&C-Datensatz ergänzen und so eine Verbindung zwischen Mirai-Botnets und den Distributoren der Petya-Ransomware feststellen.

Diese gemeinsam durchgeführte Analyse deutete auf eine Entwicklung von IoT-Botnets hin – von einem einzigen DDoS-Angriff bis hin zu komplexeren Aktivitäten wie Ransomware-Verbreitung und Mining von Kryptowährungen. IoT-Botnets sind schwer zu erkennen, da es nur sehr wenige Gefährdungsindikatoren für die meisten Nutzer gibt. Doch durch die Forschungstätigkeit unterschiedlicher Akamai-Teams gelang es, Dutzende neue C&C-Domänen zu finden und zu sperren.

Da Kryptowährung öffentlich immer häufiger eingesetzt wird, können die Akamai-Experten nach eigenen Angaben einen drastischen Anstieg von Malware im Zusammenhang mit dem Mining von Kryptowährungen sowie der Anzahl der damit infizierten Geräte beobachten.

Sie stellten zwei verschiedene Geschäftsmodelle für das Mining von Kryptowährungen fest. Das erste Modell nutzt die Prozessorleistung infizierter Geräte für das Mining von Kryptowährungs-Tokens. Das zweite Modell nutzt einen in Webseiten eingebetteten Code, der dafür sorgt, dass ein Gerät, das auf eine bestimmte Webseite zugreift für den Krypto-Miner arbeitet. Akamai führte umfassende Analysen zu diesem zweiten Geschäftsmodell durch, da es eine neue Sicherheitsbedrohung sowohl für Nutzer als auch für Webseitenbesitzer darstellt. Nach Analyse der Krypto-Miner-Domänen konnten die Spezialisten die Kosten bezüglich Rechenleistung und Währungsgewinnen abschätzen. Eine interessante Erkenntnis daraus ist, dass das Mining von Kryptowährungen künftig eine ernstzunehmende Alternative zu Werbeeinnahmen für die Finanzierung von Web-Seiten darstellen könnte.

Ein kostenloses Exemplar des „State of the Internet“-Sicherheitsberichts: Carrier Insight Report für das Frühjahr 2018 können Interessierte unter www.akamai.com/de/de/multimedia/documents/state-of-the-internet/spring-2018-state-of-the-internet-security-report.pdf herunterladen.

Dr. Jörg Schröper ist Chefredakteur der LANline.