Groot botnet blundert met gebruik Tor-netwerk
De beheerders van een groot botnet die dachten het Tor-netwerk te kunnen gebruiken om niet op te vallen hebben een grote inschattingsfout gemaakt. Op 19 augustus was er opeens een explosieve stijging van het aantal Tor-gebruikers. In eerste instantie was onduidelijk waar de groei vandaan kwam.
Uiteindelijk bleek het Mevade-botnet achter de aanwas van nieuwe Tor-gebruikers te zitten. Dit botnet was een aantal maanden geleden al ontdekt door beveiligingsbedrijf Damballa, dat het botnet de willekeurige naam LazyAlienBikers gaf.
In eerste instantie werd geschat dat het botnet uit minimaal 1,4 miljoen en mogelijk meer dan 5 miljoen computers zou bestaan. De omvang was vanwege verschillende redenen lastig vast te stellen, maar na de overstap naar Tor, dat het aantal gebruikers opeens met 2,5 miljoen zag groeien, is duidelijk dat het om een groot botnet gaat.
Defect
De Mevade-bot werd op 80% van de bedrijfsnetwerken aangetroffen die Damballa monitort. Het gedrag verschilde echter per omgeving. Bij 20% van de besmette bedrijven lukte de malware het niet om verbinding met de Command & Control-server te maken. Bij 44% van de besmette bedrijven ontving de malware alleen maar updates en bleef de rest van de tijd in een soort slaapstand.
Bij 22% van de bedrijven was de malware actief en werden er kleine hoeveelheden gegevens gestolen. De resterende 14% van de bedrijven had echter met grootschalige datadiefstal te maken. Volgens Damballa gaat het hier om een substantieel botnet dat vrij lang werd genegeerd en alle kenmerken van een succesvolle aanvaller had.
Blunder
"Wat veranderde er? Waarom was een botnet dat lange tijd door niemand werd opgemerkt opeens voorpaginanieuws? Het komt erop neer dat ze te goed waren", zegt onderzoeker Mark Gilbert. De beslissing om via het Tor-netwerk onzichtbaar te blijven bleek uiteindelijk een verkeerde keuze. "Zoals de beheerders van Mevade hebben geleerd moet je elke beslissing afwegen."
In dit geval was ongewenste aandacht de prijs van de overstap naar Tor. Gilbert verwacht dat de botnetbeheerders nu waarschijnlijk gedwongen zijn om nieuwe maatregelen te nemen om het botnet weer onzichtbaar te maken. "In de security-wapenwedloop maken soms ook de criminelen blunders. Maar je kunt ervan uitgaan dat ze hun lessen van deze fout hebben geleerd en nieuwe manieren zullen vinden om onopvallend hun gang te gaan."
Deze posting is gelocked. Reageren is niet meer mogelijk.
Ketenregisseur Gedigitaliseerde Criminaliteit en Cybercrime
Ben jij er klaar voor om de leiding te nemen in het bevorderen van de regionale samen-werking in de strijd tegen gedigitaliseerde criminaliteit en cybercrime? Samen met collega's, politie en regionale en landelijke partners? Dan is de dynamische rol van Ketenregisseur Gedigitaliseerde Criminaliteit en Cybercrime bij het Regionaal Samenwerkingsverband Integrale Veiligheid (RSIV) jouw op het lijf geschreven!
Digital Designer
Ben jij een Grafisch vormgever, UI-designer, Game-artist of gewoon een ‘self-proclaimed creative genius’, die op zoek is naar een leuke en uitdagende baan waarin je al je creativiteit kwijt kan?Je werkt samen met onze developers en UI/UX-designer aan onze Gamified Cybersecurity Challenges welke jij voorziet van de mooiste designs.
Cyber Security Trainer
"You know that feeling after you have been to the cinema and seen an exciting movie? It's the same after this training. I can only say that this is probably the BEST TRAINING that I've ever done!!!”
Are you ready for a challenge?
Senior Full Stack Developer
Als full stack developer bij Certified Secure maak je de mooiste cybersecurity challenges die onze deelnemers wereldwijd uitdagen en inspireren. Alle challenges zijn gebaseerd op actuele kwetsbaarheden, je komt dus telkens nieuwe technieken tegen, van machine learning tot web assembly, van Swift UI tot GCP.