Aktuell befällt eine neue Malware für Linux-Systeme gezielt ungesicherte Raspberry Pi-Minirechner und schließt die übernommenen Kleinstcomputer zu einem Cryptomining-Botnetz zusammen, warnt der Anbieter von Antiviren-Software Dr. Web.

Weniger Hulk, mehr Sheldon Cooper

Übernommene Geräte arbeiten nach der Integration in das Botnetz durchgehend an ihrem Limit mit annähernd hundertprozentiger Auslastung. Unklar ist allerdings, wie effizient das für Angreifer letztlich in Bitcoin, Zcash oder Monero sein kann – viel kann dabei wegen der geringen Rechenleistung eines Raspberry Pi eigentlich nicht herauskommen. Aber wenigstens kostet das Mining die Cyberkriminellen nicht ihren eigenen Strom, da darf es dann ruhig auch deutlich ineffizienter sein…

Der Ablauf einer Infektion

Der cybergeldgeile Trojaner trägt den Namen Linux.MulDrop.14 und installiert sich auf Raspberry-Pi-Geräten, deren SSH-Port für externe Verbindungen geöffnet ist und bei denen der Eigentümer noch kein eigenes Kennwort für den User “Pi” vergeben hat.

Direkt nach der Infektion des Minirechners wird das Passwort geändert in der Datei “\$6\$U1Nu9qCp\$FhPuo8s5PsQlH6lwUdTwFcAUPNzmr0pWCdNJj.p6l4
Mzi8S867YLmc7BspmEH95POvxPQ3PzP029yT1L3yi6K1” abgelegt, und anschließend sucht der Schädling mittels des Netzwerkscanners ZMap nach weiteren Netzwerkknoten mit offenem Port 22, um gegebenenfalls weitere vorhandene Geräte mit den Methoden eines Wurms zu infizieren. Währenddessen läuft das Mining auch schon auf vollen Touren.

Eine Infektion diagnostizieren

Wenn der Raspi zum Beispiel als Mediacenter arbeitet, wird die Infektion in aller Regel sofort offensichtlich bzw. unüberhörbar – Medien streamen und gleichzeitig Cybergeld minen geht auf einem so schwachen Rechner einfach nicht.

Bei Raspis, die im Normalbetrieb kaum ausgelastet sind und die deshalb unbemerkt übernommen worden sein könnten, hilft folgender schneller Check:

Geht der SSH-Login des Raspi-Besitzers wegen eines falschen Passworts daneben, ist das ein Zeichen für eine Infektion, erläutern die Sicherheitsforscher von Dr. Web.

Den Schädling wieder los werden

Wenn der eigene Raspi infiziert ist, empfehlen die Spezialisten, die SD-Karte aus dem Minirechner zu entfernen, alle wichtigen Daten über einen anderen Computer zu retten und dann einfach eine neue Distribution auf die Speicherkarte aufzuspielen.