image

Berucht Grum-botnet volledig geëlimineerd

donderdag 19 juli 2012, 10:38 door Redactie, 4 reacties

Het beruchte Grum-botnet dat voor ruim 17% van alle spam op het internet verantwoordelijk was, is volledig uitgeschakeld. Grum was sinds 2008 al actief en werd met name gebruikt voor het versturen van spam. De belangrijkste servers van het botnet waren in Panama, Rusland en Nederland ondergebracht. Atif Mushtaq van botnetjager FireEye klaagde vorige week dat de Nederlandse autoriteiten weinig tegen botnets deden.

Dat bericht had effect, want niet veel later waren de servers offline. Volgens een anoniem bericht op Security.nl waren het niet de Nederlandse autoriteiten zoals Mushtaq stelde. "Het was niet de NL authoriteit die hier iets gedaan heeft, maar een abusedesk medewerker van een andere ISP die de hoster heeft aangesproken adhv de postings by Security.nl en het Fireeye blog. De takedown was daarna binnen 4 uur een feit."

Servers
Met de uitschakeling van de Nederlandse servers waren alleen nog de servers in Panama en Rusland operationeel. De Panamese provider bezweek uiteindelijk onder internationale druk en haalde de server daar offline, waardoor dat deel van het botnet volledig was uitgeschakeld. Het Russische deel was nog steeds actief en de botnetbeheerders besloten vervolgens het botnet naar nieuwe servers te laten wijzen.

De twee uitgeschakelde Nederlandse servers werden vervangen door zes servers in de Oekraïne. Een land wat volgens Mushtaq traditioneel een veilige plek voor botnetbeheerders was. "En het uitschakelen van servers is daar nooit eenvoudig geweest."

Inbox
Mushtaq deelde de nieuwe locatie met verschillende partijen zoals Spamhaus. Deze partijen waarschuwden hun connecties in Rusland en Oekraïne. De Russische provider negeerde het verzoek, maar de Russische upstreamprovider van deze provider kwam wel in actie en zorgde dat het IP-adres van de server niet meer bereikbaar was. Aangezien ook de Oekraïense provider zijn plicht deed waren opeens alle servers van het botnet offline.

Volgens Spamhaus gebruikte het botnet gemiddeld zeker 120.000 IP-adressen om spam te versturen. Na het offline halen waren dit er nog 20.000. Mushtaq hoopt dat als deze spam templates straks verlopen zijn, het botnet helemaal geen spam meer verstuurt. De botnetjager laat weten dat de belangrijkste les van deze operatie dan ook is dat er geen veilige havens voor botnet-servers meer zijn. "Blijf dromen van een spamvrije inbox."

Reacties (4)
19-07-2012, 12:00 door Anoniem
Wel lekker rustig op de mailservers de laatste dagen.
19-07-2012, 12:03 door Anoniem
Het lijkt er wel op dat het cutwail botnet, dat sinds dinsdag uitgezet was, weer is geactiveerd.
19-07-2012, 16:04 door Anoniem
Er is echt niet minder spam in de inbox. Als je de grote jongens (tijdelijk) uitschakelt, dan nemen de kleine lieden het over. En het kenmerk daarvan is dat het niet als spam herkent wordt. Dus uiteindelijk schieten we er niets mee op met borstkloppende vigilantes.
20-07-2012, 08:37 door Anoniem
Door Anoniem: Het lijkt er wel op dat het cutwail botnet, dat sinds dinsdag uitgezet was, weer is geactiveerd.

Ja. We hadden zelfs enkele uren bijna geen spam meer. Tot gistermorgen het spamvolume plotseling weer vervijfvoudigde.

Peter
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.