Bij een grootschalige actie tegen meer dan 1400 Citadel-botnets zegt Microsoft dat het zeker 2 miljoen Windows-computers heeft bevrijd. De softwaregigant kreeg een gerechtelijk bevel waardoor het allerlei domeinnamen in beslag kon nemen die de botnets gebruikten om met besmette computers te communiceren. Een Citadel-botnet bestaat uit één of meerdere Command & Control-servers.

Deze server of servers sturen alle besmette computers in het botnet aan. De domeinen die Microsoft in beslag naam, liet het niet meer naar deze Command & Control (C&C)-servers wijzen, maar naar de eigen server, wat ook wel sinkholing wordt genoemd. "We hebben zeker 2 miljoen computers wereldwijd bevrijd. Dat is een lage schatting", aldus Richard Domingues Boscovich van Microsoft's Digital Crimes Unit.

Impact
De meeste besmette computers zouden zich in de Verenigde Staten, Europa en Hong Kong bevinden. "Het was een zeer, zeer geslaagde actie", aldus Boscovich. Het meesterbrein achter Citadel, alleen bekend via het alias Aquabox, en tientallen andere botnetbeheerders die de Citadel-malware gebruikten zijn nog altijd voortvluchtig. Boscovich vermoedt dat Aquabox zich in Oost-Europa bevindt.

Ondanks de positieve woorden van Boscovich zijn veel beveiligingsonderzoekers niet over de operatie te spreken en zeggen dat de impact helemaal niet zo groot is als Microsoft beweert. Zo zou de softwaregigant domeinen in beslag hebben genomen die al door andere onderzoekers in een sinkhole waren geplaatst en werden gebruikt om infecties bij bedrijven op te sporen.

Volgens James Wyke van anti-virusbedrijf Sophos lijkt het erop dat veel van de Citadel-botnets niet zijn uitgeschakeld, en het herstellen van de botnets die waren uitgeschakeld niet lang zal duren.