9 jaar oud botnet maakte 15 miljoen slachtoffers
Een onderschat botnet dat al sinds 2006 bestaat is in werkelijkheid zeer succesvol en heeft de afgelopen 9 jaar meer dan 15 miljoen unieke slachtoffers gemaakt. Dat meldt het recent overgenomen beveiligingsbedrijf Fox-IT. Het gaat om het botnet genaamd Ponmocup, dat in 2006 nog als Vundo of Virtumonde bekend stond. Volgens de onderzoekers is het één van de succesvolste botnets van de afgelopen jaren.
Op het hoogtepunt in juli 2011 bestond het botnet uit 2,4 miljoen computers. Sindsdien is Ponmocup in omvang afgenomen, maar is nog altijd zo'n 500.000 machines sterk. Ondanks het succes zijn de botnetbeheerders erin geslaagd om onder de radar te blijven en het botnet niet op te laten vallen. Zo heeft het botnet weinig aandacht van beveiligingsonderzoekers en bedrijven gekregen en wordt het vaak als een laag risico aangeduid.
Detectie
Het succes van Ponmocup is volgens de onderzoekers door verschillende zaken te verklaren. Zo is het lastig voor traditionele virusscanners om te herkennen, omdat het per besmette computer een unieke encryptie gebruikt en de kernonderdelen per geïnfecteerd systeem op een unieke locatie bewaart. Verder gebruikt de malware ook eenmalig domeinen voor de installatie, waardoor ze niet zijn te gebruiken om infecties binnen organisaties te herkennen.
Het botnet ondersteunt ook de diefstal van inloggegevens voor FTP-servers en Facebook, waarmee de malware verder kan worden verspreid, zo stellen de onderzoekers. Sinds 2009 zouden meer dan 5.000 websites via gestolen FTP-wachtwoorden zijn gehackt en gebruikt voor het verspreiden van de malware. Voor de verspreiding van Ponmocup werden eerst malafide Adobe Flash Player-updates en video-codecs gebruikt.
Na een grootschalige operatie om het botnet in 2011 uit te schakelen besloten de beheerders zip-bestanden, JAR-bestanden en Java-applets te gebruiken. In tegenstelling tot veel andere botnets gebruikt Ponmocup geen exploits om internetgebruikers automatisch te infecteren. Het is dan ook via het slim gebruik van social engineering dat de malware zich weet te verspreiden, zo waarschuwen de onderzoekers.
Doel
Het doel van het botnet is waarschijnlijk financieel gewin. Zo bevat de malware een plug-in voor het plegen van advertentiefraude, kan het Bitcoin-wallets stelen en zoekt het naar financiële websites die gevoelige informatie bevatten. Het is echter lastig om het bedrag te bepalen dat Ponmocup de beheerders heeft opgeleverd, maar waarschijnlijk gaat het om vele miljoenen. Het onderzoek van Fox-IT (pdf) werd vandaag tijdens de Botconf 2015 conferentie in Parijs gepresenteerd.
Deze posting is gelocked. Reageren is niet meer mogelijk.
Privacy Officer / CISO
Denk jij bij het lezen van artikelen in de media die het belang rondom privacy en informatiebeveiliging duiden, het hoeft toch helemaal niet zover te komen als je als organisatie je zaken op orde hebt? Dan zoeken wij jou!
Functionaris Gegevensbescherming (FG)
Als FG ben je de onafhankelijke toezicht-houder op naleving van de Algemene Verordening Gegevensbescherming (AVG) binnen de gehele TU/e. Je houdt toezicht op de toepassing en naleving van de AVG door de universiteit op diverse domeinen: onderwijs, onderzoek, valorisatie en bedrijfsvoering.
Security consultant
Weet jij alles van security, governance, risk en compliancy en weet je dit te vertalen naar gerichte oplossingen voor onze klanten? Begrijp jij als geen ander zowel de inhoudelijke kant, als de ‘organizational change’ kant van cybersecurity? Dan ben jij wellicht onze nieuwe security consultant!
