Het afgelopen jaar werden er meer servers gedetecteerd die door botnets werden gebruikt voor het aansturen van besmette computers, zo stelt Spamhaus in een nieuw gepubliceerd overzicht. Volgens de anti-spamorganisatie komt het niet als een verrassing dat er meer botnet-activiteit werd waargenomen.

De meeste botnet-servers bevinden zich bij providers met onderbemande abuse-afdelingen, ontoereikend abuse-beleid of die niet in staat zijn om misbruik op hun netwerk efficiënt te detecteren en te bestrijden. De domeinen die cybercriminelen voor hun botnet-servers gebruiken worden voornamelijk bij registrars in landen met lakse wetgeving of handhaving tegen cybercrime geregistreerd.

Vorig jaar zag Spamhaus 7182 unieke IP-adressen waarop een botnet-server werd gehost. Een toename van 525 IP-adressen (7,88%) ten opzichte van 2013. In 48% van de gevallen ging het echter om een gehackte webserver. De botnet-servers werden op 1183 verschillende netwerk gehost. De meeste botnet-servers werden gevonden bij het Franse OVH, het Duitse Hetzner en het Nederlandse Leaseweb. Spamhaus merkt op dat het hier alleen om de onbewerkte cijfers gaat en de getallen niets zeggen over hoe lang een botnet-server actief is of dat de provider snel op take down-verzoeken reageert.

Als het gaat om registrars waar cybercriminelen domeinnamen voor hun botnet-server registreren bestaat de top 5 alleen uit Russische en Chinese registrars. Verder komen ook Amerikaanse registrars uitgebreid in het overzicht voor. Wat betreft de tld die de cybercriminelen kiezen gaat het meestal om domeinen eindigend op .com en .ru. Uit het overzicht blijkt verder dat de meeste botnet-servers worden gebruikt voor het aansturen van banking Trojans, Trojaanse paarden die speciaal ontwikkeld zijn om geld van online bankrekeningen te stelen. 4565 servers (63,5%) werden voor dit soort malware gebruikt.