"Dood" botnet besmet 70.000 Facebook-gebruikers *update 2*
Het botnet dat deze week door een coalitie van beveiligingsbedrijven werd uitgeschakeld blijkt nog altijd springlevend te zijn, aldus een beveiligingsbedrijf dat niet bij de operatie was betrokken. Woensdag werd het tweede Kelihos-botnet, bestaande uit 109.000 besmette machines, uit de lucht gehaald. Bij de operatie waren Kaspersky Lab, het CrowdStrike Intelligence Team, Dell SecureWorks en leden van het Honeynet Project betrokken.
De eerste variant van het botnet werd eind september door onder andere Microsoft, Kaspersky Lab en SURFnet uitgeschakeld. De tweede variant verspreidt zich via Facebook en gaat ondanks de operatie van woensdag nog gewoon door, aldus beveiligingsbedrijf Seculert. "De malware communiceert nog steeds met de Command & Control-servers via andere leden van het botnet. Dit betekent dat het Kelihos.B-botnet nog steeds actief is. Het blijft groeien met nieuwe machines en verstuurt actief spamberichten."
Facebook
De beveiliger zou inmiddels meer dan 70.000 Facebook-gebruikers hebben geïdentificeerd die met de worm besmet zijn en kwaadaardige links naar hun Facebook-vrienden sturen. De meeste besmette machines bevinden zich in Polen (54%) en VS (30%).
"Sommigen noemen dit mogelijk een "nieuwe variant" of Kelihos.C. Aangezien de nieuwe besmette machines door dezelfde groep criminelen bestuurd worden, die via de Facebook-worm ook toegang tot de afgesloten bots kunnen krijgen, vinden wij het beter om dit nog steeds het Kelihos.B-botnet te noemen."
Update 12:30
CrowdStrike stelt in een verklaring dat de botnetbeheerders geen controle meer over Kelihos.B hebben en dat de variant waar Seculert over spreekt Kelihos.C is.
Update 13:30
"We bevestigen dat een nieuw Kelihos-exemplaar bestaat, maar het heeft een andere configuratie, wat betekent dat het van een nieuw Kelihos-botnet afkomstig is", zegt Marco Preuss van Kaspersky Lab tegenover Security.nl. "De vorige versie, Kelihos-B, wordt bestuurd door de sinkhole-server. Het is niet ongewoon dat er nieuwe versies van botnets verschijnen die door dezelfde groep bestuurd lijken te worden."
Preuss merkt op dat de groep achter Kelihos al sinds 2007 botnets bestuurt. "Het zou naïef zijn geweest om te denken dat ze niet door zouden gaan met het maken van nieuwe botnets voor kwaadaardige doeleinden." De aanpak van Kelihos.A en Kelihos.B zou echter hebben bewezen dat de botnets niet onkwetsbaar zijn en wel degelijk zijn aan te pakken.
De enige echte oplossing om botnets uit te schakelen is volgens Preuss het opsporen en vervolgen van de mensen die erachter zitten.
Redenen om niet geïnfecteerd te willen zijn:
* Verlies van processor, netwerk & geheugen capaciteit
* Virussen (of is het viri?) kunnen je systeem onstabiel maken. Klanttevredenheid zal niet hoog op de prioriteiten lijst staan bij de programmeurs
* Virussen kunnen gebruikt worden om m.b.v. je privé data & keyloggers:
+ je bankrekening te plunderen
+ je creditcard misbruiken
+ Identiteitsfraude plegen (allerlei diensten/producten/leningen onder jouw naam afnemen)
En indirect ondervind je er op lange termijn ook nadeel van. Botnets worden gebruikt om:
* Spam & scams te versturen
* Bedrijven te chanteren met de dreiging hun website plat te leggen
De kosten van bedrijven en overheden om zich hiertegen te kunnen verdedigen worden uiteindelijk toch weer op jou en mij verhaald.
Dus eignelijk worden hun er toch wel een beetje armer van.....
Deze posting is gelocked. Reageren is niet meer mogelijk.
Specialiseer je in Forensisch ICT
Online informatieavond 19 november
Wil jij je specialiseren in digitaal forensisch onderzoek? Je kennis verbreden en tech-nische vaardigheden ontwikkelen? Ontdek de cursus- en opleidingsmogelijkheden van Hogeschool Leiden:
- Bachelor Informatica Forensisch ICT (deeltijd)
- Master Digital Forensics (vol- en deeltijd)
- Module Mobile Forensics
- Module Data Analytics
Interesse? Meld je aan!
Chief Information Security Officer
Utrecht heeft jou nodig! Als Chief Information Security Officer speel jij een cruciale rol in de bescherming van de digitale informatie van de gemeente Utrecht. Als geen ander weet jij welke dreigingen er zijn en kun je deze vertalen naar risico's die de gemeente en haar inwoners lopen. Solliciteer nu!
Cybersecurity Trainer / Streamer
Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.
