Die ESET und die niederländische Polizei haben letzte Woche einen bedeutenden Krypto-Diebstahl aufgedeckt, der mit dem berüchtigten Ebury-Botnetz verbunden ist. Das Botnetz hat in den letzten 15 Jahren über 400.000 Server kompromittiert und stellt damit eine ernsthafte Bedrohung für den Sektor dar.
Die Enthüllung des Ebury-Botnetzes erfolgte erstmals während einer Untersuchung des niederländischen Nationalen Hightech-Kriminalitätsdienstes (NHTCU) im Jahr 2021. ESET erklärte in einem Bericht vom 14. Mai, dass die Botnetz-Betreiber in eine Reihe von Krypto-Diebstählen verwickelt waren, bei denen speziell Ethereum- und Bitcoin-Nodes als Ziel ausgewählt wurden. Die Betreiber stehlen Vermögenswerte aus den Geldbörsen ahnungsloser Benutzer, wenn diese ihre Anmeldedaten auf den infizierten Servern eingeben.
Seit mindestens 2009 aktiv, wird das Ebury-Botnetz eingesetzt, um zusätzliche Malware zu deployen, das Botnetz zu monetarisieren (z.B. Module für die Umleitung von Webverkehr), Verkehr für Spam zu proxen, Adversary-in-the-Middle (AitM)-Angriffe durchzuführen und unterstützende bösartige Infrastrukturen zu hosten.
AitM-Angriffe beinhalten das Abfangen und potenziell die Veränderung der Kommunikation zwischen zwei Parteien ohne deren Wissen. Zwischen Februar 2022 und Mai 2023 hat das Ebury-Botnetz über 200 AitM-Angriffsziele in 75 Netzwerken in 34 Ländern kompromittiert. Es stahl Kryptowährungen, Anmeldeinformationen und Kreditkartendaten und häufte im Laufe der Zeit große Geldsummen an.
Der Zugriff ermöglicht es den Betreibern, direkt aus diesen Geldbörsen Gelder zu stehlen oder kompromittierte Systeme zum Minen von Kryptowährungen zu verwenden, wodurch Ressourcen von ahnungslosen Opfern abgeschöpft werden. Die Fähigkeit des Botnetzes, für lange Zeiträume unentdeckt zu bleiben, ermöglicht es ihm, seine Operationen fortzusetzen und im Laufe der Zeit große Mengen an Kryptowährungen anzusammeln.
Der Anstieg von Krypto-Diebstählen ist besorgniserregend, da das Ebury-Botnetz in der Lage ist, viele Server zu kompromittieren und Kryptodiebstähle im großen Stil zu erleichtern, die bereits stark zunehmen. PeckShields Daten zeigen, dass im ersten Quartal (Q1) 2024 insgesamt 336,8 Millionen US-Dollar an Kryptofonds gestohlen wurden. Der Certik Hac3d Report enthüllte ebenfalls, dass im ersten Quartal 2024 erhebliche Verluste in Höhe von über 500 Millionen US-Dollar aufgrund von Kryptowährungsdiebstählen verzeichnet wurden. Dies stellt eine Steigerung um 54% gegenüber dem gleichen Zeitraum im Jahr 2023 dar, in dem Verluste von etwa 326 Millionen US-Dollar verzeichnet wurden.
Der Bericht von Certik hebt hervor, dass der Januar 2024 besonders schwerwiegend war, mit 193 Millionen US-Dollar, die bei 78 Vorfällen gestohlen wurden. Besonders bemerkenswert waren die Kompromittierungen privater Schlüssel, die zu einem Verlust von 239 Millionen US-Dollar bei nur 26 Vorfällen führten.
Diese Verletzungen, die auf die einzigartigen Schlüssel abzielen, die Einzelpersonen verwenden, um auf ihre Kryptowährungsbestände zuzugreifen, machten trotz eines Anteils von nur 11,7% an allen gemeldeten Sicherheitsverletzungen fast die Hälfte aller finanziellen Verluste aus.
