De politie heeft gisteren tijdens een internationale operatie in samenwerking met onder andere Europol, Eurojust, FBI en de Duitse politie een omvangrijk botnet offline gehaald. Het gaat om het Avalanche-botnet, dat door cybercriminelen werd gebruikt om wereldwijd malware voor internetbankieren en ransomware te verspreiden. Het Avalanche-botnet bestond gemiddeld uit zo'n 500.000 besmette computers.

Volgens Europol heeft het botnet alleen al bij aanvallen op Duitse banken naar schatting voor een schade van 6 miljoen euro gezorgd. Wereldwijd loopt de schade mogelijk in de honderden miljoenen euro's. Om het botnet uit te schakelen zijn gisteren meer dan 830.000 domeinen in beslag genomen of offline gehaald, zo meldt het Britse National Crime Agency. Deze domeinen werden door de malware gebruikt om met besmette computers te communiceren. Het botnet, dat in 2009 voor het eerst verscheen, bestond uit 600 servers wereldwijd en werd gebruikt voor het hosten van 800.000 domeinen tegelijkertijd. Na de operatie van de opsporingsdiensten is het verkeer tussen geïnfecteerde computers en het botnet in bepaalde gevallen omgeleid om slachtoffers, via hun internetprovider, over de infectie te kunnen informeren.

Cybercriminelen konden de servers van Avalanche huren en gebruiken voor het lanceren van malwarecampagnes, bijvoorbeeld door het versturen van e-mails, maar ook phishingmails en e-mails voor het rekruteren van geldezels werden via de servers verstuurd. Wat betreft de malware ging het om ransomware en banking Trojans die gegevens voor internetbankieren stelen. Met de gestolen gegevens werd vervolgens gefraudeerd. Op het hoogtepunt werd het netwerk gebruikt voor het hosten van allerlei verschillende soorten malware, zoals Citadel, Goznym, Virut, Rovnix, Teslacrypt en Vawtrack. Verder waren er dagelijks zo'n 500.000 computers wereldwijd onderdeel van het botnet. Volgens het Duitse Bundesamtes für Sicherheit in der Informationstechnik (BSI) bestond het botnet voornamelijk uit Windowscomputers en Androidtelefoons.

Avalanche zou geliefd zijn bij cybercriminelen vanwege het dubbele fast-flux-netwerk dat het gebruikte om identificatie en verstoringen te voorkomen, zo meldt de Shadowserver Foundation, een organisatie die botnets monitort en bij de operatie was betrokken. Via fast-flux kunnen botnetbeheerders de ip-adressen en nameservers van een domein in hoog tempo wisselen, zodat het lastig wordt om de locatie van de botnetserver te achterhalen. Ondanks het gebruik van deze tactiek wisten opsporingsdiensten de infrastructuur van het botnet toch in kaart te brengen.

Het internationale onderzoek naar het botnet begon vier jaar geleden in Duitsland nadat ransomware een groot aantal computers in het land had geïnfecteerd. Ook beveiligingsbedrijven zoals Symantec waren bij het onderzoek betrokken. Het Duitse onderzoek wees uit dat het botnet uit een grote hoeveelheid geïnfecteerde computers bestond die gedurende een bepaalde periode zijn aangestuurd vanuit diverse servers in Nederland. Deze servers werden onder andere gebruikt voor het aansturen van de besmette computers en zijn gisteren bij zes verschillende hostingproviders offline gehaald.

Het team High Tech Crime van de politie heeft via Duitse rechtshulpverzoeken op verschillende van de botnetservers internettaps geplaatst. Ook wordt nog verder onderzoek verricht naar de huurders van de servers en naar Nederlandse verdachten. Deze verdachten hielden zich met name bezig met de financiële kant van het criminele proces. Zij fungeerden bijvoorbeeld als geldezel door hun rekeningen beschikbaar te stellen aan criminelen om gestolen geld te kunnen ontvangen en doorsturen.

In totaal zijn in 30 landen acties uitgevoerd, waarbij vijf verdachten werden aangehouden. Daarnaast zijn 39 servers in beslag genomen en 221 servers offline gehaald. In meer dan 180 landen werden infecties aangetroffen.