Politie haalt botnet met 800.000 domeinen offline
De politie heeft gisteren tijdens een internationale operatie in samenwerking met onder andere Europol, Eurojust, FBI en de Duitse politie een omvangrijk botnet offline gehaald. Het gaat om het Avalanche-botnet, dat door cybercriminelen werd gebruikt om wereldwijd malware voor internetbankieren en ransomware te verspreiden. Het Avalanche-botnet bestond gemiddeld uit zo'n 500.000 besmette computers.
Volgens Europol heeft het botnet alleen al bij aanvallen op Duitse banken naar schatting voor een schade van 6 miljoen euro gezorgd. Wereldwijd loopt de schade mogelijk in de honderden miljoenen euro's. Om het botnet uit te schakelen zijn gisteren meer dan 830.000 domeinen in beslag genomen of offline gehaald, zo meldt het Britse National Crime Agency. Deze domeinen werden door de malware gebruikt om met besmette computers te communiceren. Het botnet, dat in 2009 voor het eerst verscheen, bestond uit 600 servers wereldwijd en werd gebruikt voor het hosten van 800.000 domeinen tegelijkertijd. Na de operatie van de opsporingsdiensten is het verkeer tussen geïnfecteerde computers en het botnet in bepaalde gevallen omgeleid om slachtoffers, via hun internetprovider, over de infectie te kunnen informeren.
Cybercriminelen konden de servers van Avalanche huren en gebruiken voor het lanceren van malwarecampagnes, bijvoorbeeld door het versturen van e-mails, maar ook phishingmails en e-mails voor het rekruteren van geldezels werden via de servers verstuurd. Wat betreft de malware ging het om ransomware en banking Trojans die gegevens voor internetbankieren stelen. Met de gestolen gegevens werd vervolgens gefraudeerd. Op het hoogtepunt werd het netwerk gebruikt voor het hosten van allerlei verschillende soorten malware, zoals Citadel, Goznym, Virut, Rovnix, Teslacrypt en Vawtrack. Verder waren er dagelijks zo'n 500.000 computers wereldwijd onderdeel van het botnet. Volgens het Duitse Bundesamtes für Sicherheit in der Informationstechnik (BSI) bestond het botnet voornamelijk uit Windowscomputers en Androidtelefoons.
Avalanche zou geliefd zijn bij cybercriminelen vanwege het dubbele fast-flux-netwerk dat het gebruikte om identificatie en verstoringen te voorkomen, zo meldt de Shadowserver Foundation, een organisatie die botnets monitort en bij de operatie was betrokken. Via fast-flux kunnen botnetbeheerders de ip-adressen en nameservers van een domein in hoog tempo wisselen, zodat het lastig wordt om de locatie van de botnetserver te achterhalen. Ondanks het gebruik van deze tactiek wisten opsporingsdiensten de infrastructuur van het botnet toch in kaart te brengen.
Het internationale onderzoek naar het botnet begon vier jaar geleden in Duitsland nadat ransomware een groot aantal computers in het land had geïnfecteerd. Ook beveiligingsbedrijven zoals Symantec waren bij het onderzoek betrokken. Het Duitse onderzoek wees uit dat het botnet uit een grote hoeveelheid geïnfecteerde computers bestond die gedurende een bepaalde periode zijn aangestuurd vanuit diverse servers in Nederland. Deze servers werden onder andere gebruikt voor het aansturen van de besmette computers en zijn gisteren bij zes verschillende hostingproviders offline gehaald.
Het team High Tech Crime van de politie heeft via Duitse rechtshulpverzoeken op verschillende van de botnetservers internettaps geplaatst. Ook wordt nog verder onderzoek verricht naar de huurders van de servers en naar Nederlandse verdachten. Deze verdachten hielden zich met name bezig met de financiële kant van het criminele proces. Zij fungeerden bijvoorbeeld als geldezel door hun rekeningen beschikbaar te stellen aan criminelen om gestolen geld te kunnen ontvangen en doorsturen.
In totaal zijn in 30 landen acties uitgevoerd, waarbij vijf verdachten werden aangehouden. Daarnaast zijn 39 servers in beslag genomen en 221 servers offline gehaald. In meer dan 180 landen werden infecties aangetroffen.
1 minder 10 meer?
Vijf verdachten aangehouden? Zo weinig? Mooi verdienmodel....
Spam netwerken heb je immers toch wel door?
Laatst ook al zo'n verhaaltje dat ze 4000 domeinen uit de lucht hadden gehaald en gek genoeg merkt niemand daar wat van. Dus enig effect heeft het blijkbaar niet gehad dan(?)
Duh, natuurlijk gaan ze geen Windows gebruiken, wat een waardeloze rommel!
Duh, natuurlijk gaan ze geen Windows gebruiken, wat een waardeloze rommel!
Gelukkig een hoog kwalitatief argument inbegrepen zie ik...
Jezus man, snap ik dat je zoiets anoniem post... maar volgende keer, ga lekker even buiten spelen ofzo.
@karma4, hangt totaal af van waar de server voor gebruikt wordt, vaak wel linux inderdaad, maar zeker niet beperkt
tot.
Voorbeeld:
Ik had vroeger eens te maken met een maloot die malware probeerde te zenden naar me, vanaf zijn windows server,
Maar je ziet ook vaak een Hypervisor draaien en dan 30 linux servers, die allemaal op een enkele windows Hyper-V server draaien.
De keten van een aanval kun je het beste bij de bron bestrijden dat is aanpakken van de criminelen en wat zij gebruiken.
Daar hoort geen os strijd bij met koppen snellen of insinuaties.
Als je echt met security bezig bent moet je dat loslaten.
Spam netwerken heb je immers toch wel door?
Sure en die worden dan braaf off-line getrokken. Even later gaan springen ze over naar de volgende geïnfecteerde klant, nog even los van de landen waar hier niet (of niet snel) iets aan gedaan word.
Deze posting is gelocked. Reageren is niet meer mogelijk.
Toezichthouder informatiebeveiliging Overheid
Rijksinspectie Digitale Infrastructuur (RDI)
Vind je het leuk om als toezichthouder bij te dragen aan de verdere groei in informatie-beveiliging van de overheid en in contact te staan met (belangen) organisaties binnen de overheid? Dan kun je komen bouwen aan toezicht op een veilige en betrouwbare Digitale Infrastructuur in Nederland.
Adviseur Informatiebeveiliging
Je bent een belangrijke speler om invulling te geven aan de gemeentelijke ambities op het gebied van informatiebeveiliging. Deze ambities neem jij op in het Informatie-beveiligingsbeleid Gemeente Zoetermeer. Wil je helpen bij het verbeteren van de informatiebeveiliging in Zoetermeer en het versterken van het cyberbewustzijn binnen onze organisatie? Wacht dan niet en kom ons team informatiebeveiliging versterken!
Digital Designer
Ben jij een Grafisch vormgever, UI-designer, Game-artist of gewoon een ‘self-proclaimed creative genius’, die op zoek is naar een leuke en uitdagende baan waarin je al je creativiteit kwijt kan?Je werkt samen met onze developers en UI/UX-designer aan onze Gamified Cybersecurity Challenges welke jij voorziet van de mooiste designs.
Senior Full Stack Developer
Als full stack developer bij Certified Secure maak je de mooiste cybersecurity challenges die onze deelnemers wereldwijd uitdagen en inspireren. Alle challenges zijn gebaseerd op actuele kwetsbaarheden, je komt dus telkens nieuwe technieken tegen, van machine learning tot web assembly, van Swift UI tot GCP.