Die Shadowserver Foundation schreibt in einem Blog-Beitrag, dass vor kurzem eine Gratis-Variante des Darkness (oder auch Optima beziehungsweise Votwup) getauften Botnet-Trojaners in einschlägigen Foren aufgetaucht ist. Diese ältere Variante wird als 6m bezeichnet, wohingegen die aktuelle Version 7g ist und für knapp 350 Dollar im Untergrund gehandelt wird.

 

Das Besondere an Darkness ist dessen Effizienz: Wie Shadowserver in einem älteren Blog-Posting schreibt, brüsten sich die Macher des Trojaners damit, mit nur 30 Bots DDoS-Attacken gegen durchschnittliche Websites umsetzen zu können. 1000 Bots sollen große Sites, 5000 Server-Cluster in die Knie zwingen. Jedes der Exe-Files soll nach Angaben der Programmierer 100 Threads gleichzeitig starten und so großen Mengen an (sinnlosem) http-Datenverkehr für die Attacken zu erzeugen. Die US-Website Darkreading zitiert den bei Arbor Networks beschäftigten Jeff Edwards mit der Aussage, dass das Botnet in den letzten Wochen im Schnitt 1,5 Webseiten pro Tag attackierte. Damit gehört es zu den aktiveren Vertretern seiner bösartigen Zunft. Laut Edwards scheinen die Angriffe von Russland aus zu gehen und sich auf Webserver in Europa zu konzentrieren.

 

Die Analysten der Shadowserver Foundation sehen ein Anwachsen der Beliebtheit von Darkness. Wahrscheinlich aufgrund seiner Leistungsfähigkeit löst es das bisher dominante Botnet Dark Energy nach und nach ab. Anders als Dark Energy stehlen Darkness-Bots keine Daten von den infizierten Rechnern, sondern konzentrieren sich auf ihre Hauptaufgabe: DDos-Angriffe. Jeff Edwards sagte Dark Reading, dass Darkness keine neuen Schwachstellen missbraucht, sondern bekannte Angriffstechniken lediglich effizienter einsetzt.

 

Wer die Version 6m des Botnet-Trojaners frei gesetzt hat, ist derzeit unklar. Die Botnet-Experten sind sich jedoch einig, dass die frei zirkulierende Gratis-Variante die Zahl der mit der Schadsoftware infizierten PCs merklich erhöhen wird – und so die Gefahr für Webseitenbetreiber wächst. Einziger Trost: Antiviren-Software erkennt den Schädling mit vergleichsweise hoher Zuverlässigkeit und Anti-DDoS-Mechanismen von Webservern sollten Angriffe durch Darkness ebenfalls auskontern können.

 

Gastbeitrag von Michael Kranawetter, Chief Security Advisor (CSA) bei Microsoft in Deutschland. In seinem eigenen Blog veröffentlicht Michael alles Wissenswerte rund um Schwachstellen in Microsoft-Produkten und die veröffentlichten Softwareupdates.