Nieuws

LeaseWeb speelt rol bij groot Russisch botnet

dinsdag 9 maart 2010, 13:58 door Redactie, 12 reacties

Onderzoekers hebben een groot botnet van meer dan 200.000 besmette machines ontdekt, en één van de Command & Control (C&C) servers is ondergebracht bij de Nederlandse hostingprovider LeaseWeb. Het Oficla botnet is actief in 48 verschillende landen, maar heeft voornamelijk in Rusland (116.119) en Oekraïne (53.746) machines weten te infecteren. Het botnet wordt bestuurd via een commerciële crimeware toolkit, die in drie varianten beschikbaar is. De niet-resistente versie van myLoader kost 335 euro, terwijl de lite versie voor 405 euro te koop is. Voor de volledige versie moeten cybercriminelen 520 euro neerleggen. Deze versie beschikt over een uitgebreid informatiesysteem en statistieken van elk onderdeel, zoals het aantal actieve en inactieve bots, aantal infecties per dag, geolocatie van de bots en nog wat andere zaken.

Onderzoeker Jorge Mieres van Malware Intelligence ontdekte drie C&C servers, in Rusland, Maleisië en Nederland. De bij LeaseWeb ondergebrachte server wordt gebruikt voor phishing, spam, malware en het besturen van het botnet. De overige twee servers hebben alleen een "malware" functie. Het is niet de eerste keer dat LeaseWeb in verband met botnets wordt gebracht. Ook het Pushdo-botnet gebruikte de hostingprovider als schuilplaats.

Falen
Volgens Mieres laat de malware het falen van beveiligingssoftware zien om dit soort dreigingen tegen te gaan. "Niet alleen als het gaat om het voorkomen van infecties, maar ook detectie." Inmiddels groeit het botnet met 120 computers per uur. Net als veel andere bots, zoals Zeus, beschikt ook dit botnet over een "kill commando" om Windows op geïnfecteerde computers te beschadigen. "Wat vaak als een onbeduidende infectie wordt gezien, is in feit onderdeel van een serie criminele activiteiten op wereldwijde schaal."

Opera bevestigt ernstig browser-lek

Ernstig lek in Apache voor Windows

Reacties (12)

09-03-2010, 14:48 door adejoode

LeaseWeb heeft 22.000 servers in gebruik. Momenteel genereren we een piek van 649,5 Gbps aan internet verkeer. Als infrastructuur leverancier leveren wij de hardware, de plek in het datacenter en de internet verbinding, wij doen in principe geen systeem- of applicatiebeheer voor onze klanten. Omdat de klant zelf het beheer doet hebben wij geen toegang tot de server, we kunnen dus niet 'even inloggen op 22.000 machines om te kijken of er ....'.

Je zou LeaseWeb kunnen zien als een grote stad met 2 miljoen inwoners (= websites), zoals in elke stad vinden er binnen het LeaseWeb netwerk ook activiteiten plaats die het dag licht minder kunnen verdragen. LeaseWeb heeft om deze activiteiten te bestrijden een abuse/security afdeling die meldingen verwerkt mbt. deze activiteiten.Gezien de volumes is deze afdeling wel afhankelijk van meldingen, geen melding is vooralsnog geen aktie. We volgen verschillende antimalware feeds, maar het doen van een directe melding is de beste manier om deze activiteiten binnen het LeaseWeb netwerk te stoppen. Het is dus jammer dat Security.NL en MalwareInt.com geen melding van het ip# en de activiteiten hebben gemaakt, LeaseWeb zou dan eerder in staat zijn geweest deze server offline te halen.

Toevallig stond het ip ook op Zeus.tracker, dat is een van de feeds die we dagelijks volgen en die we gebruiken om C&C's af te sluiten. Het betreffende ip adres was dan ook al genulled op het moment van publicatie.

* http://noc.leaseweb.com/
* http://www.malwareint.com/docs.html
* http://zeustracker.abuse.ch

Alex de Joode
Security Officer
LeaseWeb BV
http://www.leaseweb.com

09-03-2010, 19:41 door Anoniem

Met zo veel hosts in je netwerk en zoveel verkeer, is het wellicht een idee om eens pro-actief aan het werk te gaan ipv te rekenen op meldingen van mensen die daar graag tijd in stoppen. Maar dat zal niet echt in jullie business-model passen gok ik.

Het zou een trieste wereld zijn als de politie ook lekker achterover gaat zitten tot er eens een melding binnenkomt.

09-03-2010, 22:08 door mathijsk

Tja Alex, als ze dat hadden gedaan, was er geen nieuwsitem gekomen natuurlijk en dat is nu juist waar het hier om draait.

Daarbij staan de beste stuurlui aan wal en is het oh zo makkelijk om op iets of iemand af te geven.

Dat jij je vaak aangesproken mag voelen door dit soort berichten op blogs en fora zoals wht komt een beetje met de functie vrees ik.

Toch zou ik blijven reageren, want anders gaan dergelijk berichten helemaal een eigen leven lijden.

Van mij hebben jullie wel eens een abusebericht ontvangen en daar is toen ook adequaat op gereageerd.

09-03-2010, 23:17 door Anoniem

zou ik ook zeggen Alex, je bent zelf een boef.

10-03-2010, 15:58 door Anoniem

Het is wel makkelijk om je elke keer maar te verbergen en excusses te verzinnen waarom niet pro actief reageren, sorry zeggen en zorgen dat dit niet meer voorkomt...

10-03-2010, 16:42 door Anoniem

Sorry hoor, maar hij geeft zelf toch aan dat ze wel degelijk proactief reageren en het betreffende ip al 'genulled' was?

Wat hebben jullie toch tegen Leaseweb, het is gewoon een erg grote speler en dan heb je statistisch gezien ook meer kans op dit soort zaken.
Daarnaast kan dit iedere colo leverancier overkomen, als er een klant gehacked wordt en die server hiervoor misbruikt wordt, is er niet eens een kwade partij in het spel op die locatie.
Of iemand neemt bij een klant van Leaseweb een VPS af die hiervoor gebruikt wordt, hoe wil je dat gaan vinden zonder eerst een klacht te ontvangen? Zowel Leaseweb als de klant mogen niet zomaar op een dergelijk vps rondstruinen omdat dan privacy en andermans gegevens nogal in het geding komen. Hetzelfde wat betreft alle netwerk verkeer aan deep packet inspection onderwerpen. Ten eerste heb je daarvoor nogal veel capaciteit nodig waardoor het ondoenlijk is, ten tweede is iedereen daar op tegen als de een of andere politieke nono het in zijn hoofd haalt zoiets voor te stellen.

Aan de ene kant spreekt iedereen schande over landen als china en irak maar aan de andere kant verwachten ze wel zoiets van Leaseweb?

10-03-2010, 21:28 door Anoniem

Wellicht zijn er hier security experts die eens uit kunnen leggen hoe zo'n groot netwerk als dat van leaseweb "proaktief" schoon gemaakt kan worden?

Een linux servertje met 700 gigabit NIC's waar tcpdump op draait? (en dan maar hopen dat de C&C niet encrypted praat met de bots?)

11-03-2010, 01:37 door Anoniem

Hahahahaha, Leaseweb. Dan zeg je ook wat! Toen wij daar melding deden van andere obscure (voornamelijk oost europese) activiteiten, werd ons de deur gewezen en gezegd dat we maar ergens bij de "klpd" moesten gaan klagen.

Het is een grote teringzooi daar, en ze doen er waarschijnlijk wel degelijk bewust aan mee. Het gaat om heel veel geld. Je kan dan als website eigenaar ook beter kijken naar de wat kleinere hosts, dan weet je ook een beetje wat er om je heen staat!

Natuurlijk is het heel moeilijk om de controle op je netwerk zo streng te houden, maar je kan toch tenminste aan je klanten vragen WAT ze dan online willen hosten. Al is het alleen al zodat jij een betere oplossing kan bieden voor ze. En nogmaals, een tip Leaseweb, die instabiele abuse desk, doe er wat aan!

11-03-2010, 08:12 door Anoniem

rbn=leaseweb

11-03-2010, 22:42 door Anoniem

Geen adviezen van de experts zo te zien.

Kwestie van stuurlui aan wal dus.

15-03-2010, 05:25 door Anoniem

Beter lezen dan. Genoeg advies van experts gezien. Maar dat zal jij als leek ook niet begrijpen. Leaseweb is een grote criminelenbende.

15-03-2010, 18:08 door Anoniem

In mijn ervaring reageert Leaseweb altijd snel op abusemeldingen, zelfs op die van
spamcop (iets waar veel andere clubs nog wat van kunnen leren).

Het probleem waar Leaseweb tegenaan loopt is dat een 'coloboer' nu eenmaal geen controle
heeft over de systemen die in haar kasten staan. En hoe meer je er hebt, hoe groter de kans
dat een ervan slechte intenties heeft. Kwestie van statestiek dus.

Innuendo van wannabee scriptkiddies dat Leaseweb 'een grote criminelenbende' is, is of
laster, of de poster heeft het maar te staven. Aangezien de lafaards die dit zeggen het
niet durven te zeggen onder hun eigen naam zou ik ze dringend willen adviseren om pas uit
ma's kelder te komen als ze hun eigen broek op kunnen houden.

=paulv

Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.

Bitcoin:

Vacature

Junior DevOps Engineer

Certified Secure is op zoek naar een Junior DevOps Engineer. Deze functie is een stuk interessanter dan de term doet vermoeden! Om jou als potentiële nieuwe collega meteen te laten zien wat we doen hebben we speciaal voor jou een selectie gemaakt van een aantal leuke security challenges. Are you ready for a challenge?

Lees meer

Vacature

Cybersecurity Trainer / Streamer

Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.

Lees meer

Ik moet ineens mijn portret in mijn Office 365 account stoppen, mag dat?

13-11-2024 door Arnoud Engelfriet

Juridische vraag: Ik werk in de publieke sector bij een organisatie die tussen 500-1000 medewerkers heeft. Vandaag werden wij ...

33 reacties

Lees meer