LeaseWeb speelt rol bij groot Russisch botnet
Onderzoekers hebben een groot botnet van meer dan 200.000 besmette machines ontdekt, en één van de Command & Control (C&C) servers is ondergebracht bij de Nederlandse hostingprovider LeaseWeb. Het Oficla botnet is actief in 48 verschillende landen, maar heeft voornamelijk in Rusland (116.119) en Oekraïne (53.746) machines weten te infecteren. Het botnet wordt bestuurd via een commerciële crimeware toolkit, die in drie varianten beschikbaar is. De niet-resistente versie van myLoader kost 335 euro, terwijl de lite versie voor 405 euro te koop is. Voor de volledige versie moeten cybercriminelen 520 euro neerleggen. Deze versie beschikt over een uitgebreid informatiesysteem en statistieken van elk onderdeel, zoals het aantal actieve en inactieve bots, aantal infecties per dag, geolocatie van de bots en nog wat andere zaken.
Onderzoeker Jorge Mieres van Malware Intelligence ontdekte drie C&C servers, in Rusland, Maleisië en Nederland. De bij LeaseWeb ondergebrachte server wordt gebruikt voor phishing, spam, malware en het besturen van het botnet. De overige twee servers hebben alleen een "malware" functie. Het is niet de eerste keer dat LeaseWeb in verband met botnets wordt gebracht. Ook het Pushdo-botnet gebruikte de hostingprovider als schuilplaats.
Falen
Volgens Mieres laat de malware het falen van beveiligingssoftware zien om dit soort dreigingen tegen te gaan. "Niet alleen als het gaat om het voorkomen van infecties, maar ook detectie." Inmiddels groeit het botnet met 120 computers per uur. Net als veel andere bots, zoals Zeus, beschikt ook dit botnet over een "kill commando" om Windows op geïnfecteerde computers te beschadigen. "Wat vaak als een onbeduidende infectie wordt gezien, is in feit onderdeel van een serie criminele activiteiten op wereldwijde schaal."
Je zou LeaseWeb kunnen zien als een grote stad met 2 miljoen inwoners (= websites), zoals in elke stad vinden er binnen het LeaseWeb netwerk ook activiteiten plaats die het dag licht minder kunnen verdragen. LeaseWeb heeft om deze activiteiten te bestrijden een abuse/security afdeling die meldingen verwerkt mbt. deze activiteiten.Gezien de volumes is deze afdeling wel afhankelijk van meldingen, geen melding is vooralsnog geen aktie. We volgen verschillende antimalware feeds, maar het doen van een directe melding is de beste manier om deze activiteiten binnen het LeaseWeb netwerk te stoppen. Het is dus jammer dat Security.NL en MalwareInt.com geen melding van het ip# en de activiteiten hebben gemaakt, LeaseWeb zou dan eerder in staat zijn geweest deze server offline te halen.
Toevallig stond het ip ook op Zeus.tracker, dat is een van de feeds die we dagelijks volgen en die we gebruiken om C&C's af te sluiten. Het betreffende ip adres was dan ook al genulled op het moment van publicatie.
* http://noc.leaseweb.com/
* http://www.malwareint.com/docs.html
* http://zeustracker.abuse.ch
Alex de Joode
Security Officer
LeaseWeb BV
http://www.leaseweb.com
Het zou een trieste wereld zijn als de politie ook lekker achterover gaat zitten tot er eens een melding binnenkomt.
Daarbij staan de beste stuurlui aan wal en is het oh zo makkelijk om op iets of iemand af te geven.
Dat jij je vaak aangesproken mag voelen door dit soort berichten op blogs en fora zoals wht komt een beetje met de functie vrees ik.
Toch zou ik blijven reageren, want anders gaan dergelijk berichten helemaal een eigen leven lijden.
Van mij hebben jullie wel eens een abusebericht ontvangen en daar is toen ook adequaat op gereageerd.
Wat hebben jullie toch tegen Leaseweb, het is gewoon een erg grote speler en dan heb je statistisch gezien ook meer kans op dit soort zaken.
Daarnaast kan dit iedere colo leverancier overkomen, als er een klant gehacked wordt en die server hiervoor misbruikt wordt, is er niet eens een kwade partij in het spel op die locatie.
Of iemand neemt bij een klant van Leaseweb een VPS af die hiervoor gebruikt wordt, hoe wil je dat gaan vinden zonder eerst een klacht te ontvangen? Zowel Leaseweb als de klant mogen niet zomaar op een dergelijk vps rondstruinen omdat dan privacy en andermans gegevens nogal in het geding komen. Hetzelfde wat betreft alle netwerk verkeer aan deep packet inspection onderwerpen. Ten eerste heb je daarvoor nogal veel capaciteit nodig waardoor het ondoenlijk is, ten tweede is iedereen daar op tegen als de een of andere politieke nono het in zijn hoofd haalt zoiets voor te stellen.
Aan de ene kant spreekt iedereen schande over landen als china en irak maar aan de andere kant verwachten ze wel zoiets van Leaseweb?
Een linux servertje met 700 gigabit NIC's waar tcpdump op draait? (en dan maar hopen dat de C&C niet encrypted praat met de bots?)
Het is een grote teringzooi daar, en ze doen er waarschijnlijk wel degelijk bewust aan mee. Het gaat om heel veel geld. Je kan dan als website eigenaar ook beter kijken naar de wat kleinere hosts, dan weet je ook een beetje wat er om je heen staat!
Natuurlijk is het heel moeilijk om de controle op je netwerk zo streng te houden, maar je kan toch tenminste aan je klanten vragen WAT ze dan online willen hosten. Al is het alleen al zodat jij een betere oplossing kan bieden voor ze. En nogmaals, een tip Leaseweb, die instabiele abuse desk, doe er wat aan!
Kwestie van stuurlui aan wal dus.
spamcop (iets waar veel andere clubs nog wat van kunnen leren).
Het probleem waar Leaseweb tegenaan loopt is dat een 'coloboer' nu eenmaal geen controle
heeft over de systemen die in haar kasten staan. En hoe meer je er hebt, hoe groter de kans
dat een ervan slechte intenties heeft. Kwestie van statestiek dus.
Innuendo van wannabee scriptkiddies dat Leaseweb 'een grote criminelenbende' is, is of
laster, of de poster heeft het maar te staven. Aangezien de lafaards die dit zeggen het
niet durven te zeggen onder hun eigen naam zou ik ze dringend willen adviseren om pas uit
ma's kelder te komen als ze hun eigen broek op kunnen houden.
=paulv
Deze posting is gelocked. Reageren is niet meer mogelijk.
Specialiseer je in Forensisch ICT
Online informatieavond 19 november
Wil jij je specialiseren in digitaal forensisch onderzoek? Je kennis verbreden en tech-nische vaardigheden ontwikkelen? Ontdek de cursus- en opleidingsmogelijkheden van Hogeschool Leiden:
- Bachelor Informatica Forensisch ICT (deeltijd)
- Master Digital Forensics (vol- en deeltijd)
- Module Mobile Forensics
- Module Data Analytics
Interesse? Meld je aan!
Chief Information Security Officer
Utrecht heeft jou nodig! Als Chief Information Security Officer speel jij een cruciale rol in de bescherming van de digitale informatie van de gemeente Utrecht. Als geen ander weet jij welke dreigingen er zijn en kun je deze vertalen naar risico's die de gemeente en haar inwoners lopen. Solliciteer nu!
Cybersecurity Trainer / Streamer
Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.
