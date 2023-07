Eine Malware hat über einen Zeitraum von zwei Jahren unentdeckt zehn­tau­sen­de Router infiziert. Die betroffenen Geräte kommen in kleineren Büros zum Einsatz und werden von Privatnutzern verwendet. Gekaperte Router wurden zum Aufbau eines Botnetzes genutzt.

Botnetz mit 40.000 Knoten aufgebaut

Nutzer sollten Sicherheits-Updates installieren

Zusammenfassung AVrecon: Malware infiziert über zwei Jahre unentdeckt Router.

70.000 Router in kleinen Büros und Home-Offices betroffen.

Botnetz besteht aus 40.000 Knoten in 20 Ländern.

Kaum Unterbrechungen verursacht, meist nicht bemerkt.

Empfehlung: Neustarts, Patches und sichere Passwörter.

Die Schadsoftware hört auf den Namen AVrecon und soll über 70.000 Router infiziert haben, die in kleinen Büros sowie im Home-Office (SOHO) zum Einsatz kommen. Auf den betroffenen Geräten sind Linux-Systeme installiert. Das aufgebaute Botnetz besteht aus 40.000 Knoten in 20 Ländern und erlaubt es den Betreibern, zahlreiche kriminelle Aktivitäten durchzuführen. Mit 15 Kommando-Servern steuern Hacker das Botnetz seit mindestens Oktober 2021.Die Angreifer haben die Option, eine Remote-Shell zu starten und beliebige Befehle an infizierte Router zu senden. Hiermit kann auch weitere Schadsoftware auf den Geräten installiert werden. Laut Lotus Labs (via Bleeping Computer ) verursacht AVrecon keine Un­ter­brech­ung­en und wird von den meisten Nutzern nicht bemerkt.AVrecon verwendet den Port 48102 und gelangt über Sicherheitslücken und Ausprobieren von Standard-Passwörtern auf die Router. Momentan ist jedoch unklar, von welchen Herstellern die infizierten Geräte stammen. Im Ge­gen­satz zu anderen Botnetzen führen die Betreiber kaum DDoS-Attacken oder Kryptomining-Aktivitäten durch, um nicht zu viel Bandbreite zu beanspruchen und unentdeckt zu bleiben.Wer sich gegen die AVrecon-Malware schützen möchte, sollte seinen Router regelmäßig neustarten und aktuelle Sicherheits-Patches installieren. Zudem sollten die Geräte mit einem sicheren Passwort geschützt werden.Vor allem Privatanwender und Arbeitnehmer im Home-Office beschäftigen sich nur selten mit der Sicherheit ihres Routers, sofern die Verbindung zuverlässig funktioniert. Das dürfte auch der Grund dafür sein, weshalb AVrecon hauptsächlich SOHO-Router ins Visier nimmt und in den wenigsten Fällen entdeckt wurde. In größeren Büros werden die Geräte oftmals besser abgesichert.