Een domeinnaam waarmee de backdoor in de software van SolarWinds verbinding maakt wordt nu door techbedrijven als killswitch gebruikt. Aanvallers wisten in updates voor het Orion Platform van SolarWinds een backdoor te verbergen. Via het Orion Platform kunnen organisaties hun it-omgeving monitoren. Zo'n 18.000 bedrijven en organisaties wereldwijd installeerden de besmette updates.

Eenmaal actief maakt de backdoor verbinding met het domein avsvmcloud[.]com voor verdere communicatie en het installeren van aanvullende malware. De domeinnaam is inmiddels in handen van Microsoft gekomen. Securitybedrijf FireEye meldt via LinkedIn dat het een killswitch heeft gevonden die ervoor zorgt dat de backdoor stopt met werken. "Afhankelijk van de teruggegeven ip-adressen wanneer de malware avsvmcloud[.]com opvraagt, schakelt de malware zichzelf in bepaalde gevallen uit en stopt zo met werken", aldus de verklaring.

FireEye zegt dat het met Microsoft en GoDaddy heeft samengewerkt om de backdoor zo op besmette systemen uit te schakelen. De killswitch werkt zowel voor oude als nieuwe infecties. De aanvallers maken echter ook gebruik van andere manieren dan de backdoor om toegang tot de netwerken van slachtoffers te behouden, stelt FireEye. De killswitch zorgt er niet voor dat aanvallers geen toegang meer tot het netwerk hebben als ze al andere backdoors hebben toegevoegd. "Het maakt het echter lastiger voor de aanvallers om de eerder verspreidde versie van de backdoor te gebruiken", besluit FireEye.