De FBI is trots op de samenwerking met het Team High Tech Crime (THTC) van de Nederlandse politie waarmee het deze week samen een botnet uit de lucht haalde. Het ging om een gezamenlijke operatie van het THTC, de FBI, Europol en verschillende beveiligingsbedrijven die was gericht tegen de malware, die in de persberichten van de verschillende opsporingsdiensten Beebone of AAEH werd genoemd.

De malware staat echter ook bekend als Vobfus en Changeup, zo laat Symantec weten. Het gaat om een worm die in 2009 voor het eerst verscheen en zich via de Autorun-functie van Windows verspreidde. Een jaar later gebruikte de worm het LNK-lek waardoor de Stuxnetworm zich wist te verspreiden. Ook werd er social engineering door Changeup toegepast.

Op besmette USB-sticks en netwerkmappen plaatste de worm een kopie van zichzelf met de namen Porn.exe, Sexy.exe, Passwords.exe en Secret.exe en creëerde het uitvoerbare bestanden met de namen van al aanwezige bestanden. Deze bestanden hadden een folder-icoon, waardoor het leek alsof het om een map ging. Aangezien Windows bestandsextensies standaard niet laat zien konden gebruikers daardoor onbedoeld de malware activeren.

Aanvullende malware

Eenmaal actief installeerde Changeup allerlei andere malware, waaronder malware die gegevens voor internetbankieren en wachtwoorden probeerde te stelen, alsmede nep-virusscanners en ransomware, aldus de FBI. De Amerikaanse opsporingsdienst stapte naar de rechter met het verzoek om 100 domeinnamen in beslag te nemen die het botnet gebruikte om met besmette computers te communiceren. Iets waar de rechter toestemming voor gaf. Vervolgens lieten de opsporingsdiensten deze domeinen naar de servers van internetproviders en Computer Emergency Response Teams (CERTs) van over de hele wereld wijzen.

"Botnets zoals Beebone hebben over de hele wereld slachtoffers gemaakt, wat laat zien waarom een gezamenlijke aanpak van wereldwijde opsporingsdiensten samen met de private sector zo belangrijk is. De FBI is trots om bij de bestrijding van botnets samen te werken met onze partners bij het Europese Cybercrime Centrum van Europol, de Joint Cybercrime Action Taskforce (J-CAT) en het Nederlandse Team High Tech Crime", aldus FBI-adjunct-directeur Joseph Demarest.