De Nederlandse hostingprovider Ecatel is weer tot de belangrijkste hoster voor cybercriminelen uitgeroepen, maar het bedrijf ontkent de aantijgingen. Het World Hosts Report, voorheen bekend als de Top 50 Bad Hosts, bestaat uit een analyse van meer dan 43.000 publiek-gerouteerde Autonomous Systems (AS) in de wereld en bekijkt welke providers een rol spelen bij cybercrime.

Daarbij laten de onderzoekers weten dat niet alle kwaadaardige content, zoals malware, command & control-servers voor botnets en spamruns opzettelijk gehost worden. "Soms zijn de hosters het slachtoffer", aldus Jart Armin, de man achter HostExploit, de organisatie die het rapport opstelde.

Nederland
In het eerste kwartaal van 2013 was het Ecatel dat weer de koppositie veroverde, iets waar het in het verleden vaker te vinden was. De laatste edities van het rapport kenden echter een andere nummer één. "Ecatel staat bij geen enkele specifieke categorie bovenaan, maar [staat op de eerste plek] voornamelijk vanwege de algehele slechte prestaties", aldus Armin.

Die kijkt ook naar de Nederlandse situatie en wijst daarbij naar een studie van McAfee uit januari. Daaruit zou blijken dat Nederland een 'paradijs' voor cybercriminelen zou zijn. "Dat gaat wat ver, maar het is duidelijk dat Nederland een hardnekkig probleem heeft dat sommige providers consistent hoog in de HostExploit index scoren."

Wat betreft landen wordt Nederland door HostExploit op een zevende plek neergezet. Dat komt voornamelijk door Ecatel en LeaseWeb, die in het overzicht van providers op een eerste en elfde plek staan. "Je zou kunnen zeggen dat deze providers slachtoffer zijn van de fantastische Nederlandse internet-infrastructuur, zowel op zakelijk als consumentenniveau, alsmede als groot knooppunt voor internetverkeer."

Als het gaat om cybercrime staat Rusland op de eerste plek, gevolgd door Wit-Rusland, de Oekraïne, Maagden Eilanden, Verenigde Staten en Roemenië.

Omvang
Ecatel is een redelijk kleine provider, terwijl LeaseWeb één van de grootste partijen in Europa is. Toch staat Ecatel boven LeaseWeb. Het rapport kijkt namelijk niet naar de absolute omvang van misbruik door cybercriminelen, maar naar het proportionele misbruik. Een grote provider kan dan met meer malware en spam te maken hebben dan een kleine provider, als de kleine provider in verhouding met het aantal toegewezen adressen meer misbruik vertoont, komt het toch hoger op de lijst.

Ecatel scoort met z'n 13.000 IP-adressen een score van 152,38. LeaseWeb heeft ruim 349.000 adressen, maar komt uit op een score van 130,72. Van de Top 10 nieuwe hostingproviders is Denkers-ICT B.V. volgens HostExploit een interessante partij voor de toekomst. Het bedrijf staat in de Top 10 van nieuw geregistreerde providers met de hoogste indexwaarde sinds het vorige rapport.

IP-adressen
In het overzicht van Top 10 van geïnfecteerde websites staat LeaseWeb op een derde plek, net voor Amazon en Google. De helft van de providers in dit overzicht is afkomstig van Amerikaanse bodem. In de top 10 van Botnet C&Cs staat Ecatel op een zevende plek. De eerste, tweede en vierde plek zijn in handen van Russische providers.

Als het om spam gaat komt geen van de Nederlandse providers terug in het overzicht. Hier wordt de lijst aangevoerd door een Oekraïense en Wit-Russische partij, met de Duitse provider CB3ROB op een derde plek. CB3ROB staat ook in de Top 10 van 'Current Events'. Het gaat hier om nieuwe types van kwaadaardige content.

Het overzicht van providers die exploits aanbieden waarmee internetgebruikers besmet worden laat weer een Nederlandse partij zien. Hier staat Superior B.V. op een zesde plek. Deze partij staat in het overzicht van de HE Index op een 330ste positie.

Ziek
"We worden er een beetje ziek van", zegt Reinier van Eeden van Ecatel tegenover Security.NL. "Het rapport is gebaseerd op wat informatie, maar met al die organisaties werken wij netjes samen. Er staan helemaal geen feiten in. Als wij om die informatie vragen, en dat doen we telkens, krijgen we gewoon niets. Daar kunnen wij niets aan doen. Het liefst staan we er helemaal niet in."

"Als ik naar het rapport kijk staan er ook andere Nederlandse providers. Wanneer ik op ons AS-nummer zoek zich ik drie geblackliste URL's. Dan zie ik een provider op een elfde plek met 13.000 URL's staan. Hoe kan het dan dat wij hoger staan", vraagt Van Eeden zich af.

Update 27/3 11:56
Denkers-ICT B.V. laat in een reactie tegenover Security.NL weten dat de vermelding in de Top 10 te wijten was aan een golf van gehackte Joomla-installaties. Via de gehackte servers werden vervolgens DDoS-aanvallen tegen banken uitgevoerd. Het bedrijf zegt op kwetsbare installaties bij klanten te hebben gescand en in het geval van lekke versies deze klanten te hebben afgesloten. Daardoor zouden de DDoS-aanvallen en vermelding in de Top 10 een eenmalig iets moeten zijn.