Botnet greift CMS-Systeme an

11. November 2020 um 14:51
  • security
  • cyberangriff
image

Security-Spezialisten haben über 230'000 betroffene Websites festgestellt.

Das Botnet KashmirBlack sei seit November 2019 aktiv, schreibt die Security-Firma Imperva in einem Report. Das Botnet sei derzeit in über 30 Ländern aktiv und installiere automatisierte Schadprogramme auf den gekaperten Rechnern. Rund 230'000 Websites seien betroffen.
Eine sechsmonatige Untersuchung von Imperva habe gezeigt, dass das Botnet eine seit zehn Jahren bekannte Schwachstelle ausnutze, die PHPUnit RCE Sicherheitslücke (CVE-2017-9841), und vor allem auf CMS-Systeme wie Wordpress, Joomla oder Drupal abziele.
Die Experten von Imperva schätzen das Bot-Netzwerk als überdurchschnittlich ausgereift ein. Die gut durchdachte Infrastruktur könne ohne grossen Aufwand um neue Exploits und Payloads erweitert werden. Zudem könne das Botnet sich sehr gut tarnen und bleibt so lange Zeit unentdeckt. Der Bot weiche zur Zwischenablage auch auf populäre Command&Controll-Kontrolldomänen wie Pastebin, Github aber auch Dropbox-Server aus.
Die Schäden durch die Angriffe seien mannigfaltig und würden von gestörter Web-Performance bis hin zu Denial-of-Service-Serverausfällen reichen. Zweck der Angriffe seien unter anderem Cryptomining. Sobald ein Server von der Schadsoftware befallen ist, bestehe die Gefahr, dass der Bot weitere Server infiltriere.
Der ausführliche Report " CrimeOps of the KashmirBlack Botnet" ist im Blog von Imperva veröffentlicht worden.

Loading

Mehr zum Thema

image

Finanzplatz Schweiz von KI-Modell Mythos bedroht

Die Schweizerische Bankiervereinigung und das Schweizer Zentrum zur Bekämpfung von Finanzkriminalität sehen in der Mythos-KI eine Bedrohung für den hiesigen Finanzplatz.

publiziert am 19.6.2026
imageAbo

EFK sieht Lücken in der Cyberabwehr des Bundes

Bei der Zusammenarbeit zwischen FS BIS und dem Bacs bestehen noch Lücken – insbesondere bei Vorgaben, Prozessen und der Meldung von Cybervorfällen.

publiziert am 18.6.2026
image

Hackerkampagne kompromittiert 74'000 Fortinet-Firewalls

Der "Fortibleed" getaufte Angriff legt Zugangsdaten von Organisationen weltweit offen. Sicherheitsforscher nennen das Ausmass "erschreckend".

publiziert am 18.6.2026
imageAbo

Neue Ransomware-Bande behauptet Angriff auf Plattform von Syngenta

Die Gruppe Shadowbyt3$ ist erst seit Februar aktiv, will aber neben dem Agrarkonzern weitere prominente Opfer wie Nintendo erfolgreich attackiert haben.

publiziert am 16.6.2026