Een berucht botnet is gestopt met het gebruik van encryptie voor het versturen van spamberichten, waardoor het nu met minder bots meer spam kan uitspugen. Uit analyse van MessageLabs blijkt dat het spampercentage afkomstig van botnets verder is toegenomen, tot 95% van alle spam. In april was dat nog 84%. De meeste spam is afkomstig van het Rustock botnet; 41% in augustus, tegenover 32% in april.

Rustock gebruikte hiervoor wel een kleiner aantal gecontroleerde bots, 1,3 miljoen in augustus, tegenover 2,5 miljoen in april. “De totale hoeveelheid spam in omloop is iets kleiner dan in de vorige kwartalen, omdat de meeste botnets het aantal bots hebben verminderd,” zegt analist Paul Wood “Rustock vormt hierop een uitzondering. Het beperkte weliswaar het aantal bots onder zijn controle, maar dreef zijn output aanzienlijk op. De spamproductie per minuut van zijn bots is meer dan verdubbeld. Het totaal aantal spamberichten per dag is daardoor met 6% gestegen.”

Encryptie
Eén van de redenen voor de verhoogde productie van Rustock is het feit dat het botnet niet langer TLS-encryptie gebruikt om spam te versturen, waardoor de verbindingen sneller worden opgezet. Spam met TLS-encryptie bereikte in maart zijn hoogtepunt. Toen vertegenwoordigde dit spamtype 30% van de spam van alle bronnen samen en zelfs 70% van de spam die van Rustock afkomstig was. Met nog 0,5% van alle verstuurde spam is TLS-encryptie nu duidelijk veel minder populair.

“Door het extra encryptieproces bij het verzenden van een spambericht maakt TLS de verbindingen trager. De botnetbeheerders hebben waarschijnlijk ingezien dat deze tactiek hun capaciteit om spam te versturen te veel beperkte,” aldus Wood. “Rustock bekleedt daardoor nu meer dan ooit een dominerende positie. Het aantal verstuurde spamberichten per bot en per minuut is bij Rustock meer dan verdubbeld, van 96 tot 192 e-mails.”