Een onbekend botnet blijkt meer dan een miljoen internetgebruikers met malware te hebben geïnfecteerd, zo ontdekte een Zwitserse beveiligingsonderzoeker. Roman Huessy wilde in kaart brengen hoe groot de verschillende bekende botnets zijn. Daarvoor gebruikte hij een 'sinkhole', een domeinnaam waarmee het botnet verbinding maakt. Huessy wist meerdere van deze domeinnamen te registeren en kon vervolgens het aantal IP-adressen over een periode van twee maanden monitoren dat verbinding maakte.
Het ging om verschillende banking Trojans (Carberp, Gozi, SpyEye en ZeuS) bedoeld voor het plunderen van online bankrekeningen. Daarnaast waren er verschillende Trojan droppers, waarmee botnetbeheerders aanvullende malware op besmette pc's kunnen installeren (Gbot en Ponmocup). Een worm (Ramnit) en Clickfraude Trojans (Artro, TDSS) maakten het overzicht compleet. Huessy merkt op dat het aantal IP-adressen niet de precieze omvang van het botnet weergeeft, maar een "aardige indicatie" is.
Internetbankieren
Wat de Zwitserse onderzoeker opviel, was dat de banking Trojans een relatief klein aantal computers besmetten, in vergelijking met de andere soorten malware. "Het is niet erg lastig om computers te infecteren, de truc is het vinden van een goede manier om het botnet te verzilveren." Bij financiële malware moeten de criminelen katvangers vinden om het geld over te maken of wit te wassen. Zonder katvangers heeft een groot botnet geen zin, daarnaast kan het de aandacht van opsporingsdiensten trekken.
Ponmocup
Clickfraude is volgens Huessy veel eenvoudiger, omdat het niemand iets kan schelen, behalve de bedrijven die voor de advertenties moeten betalen. Toch zijn de clickfraude-botnets niet de grootste. Een aantal weken geleden ontdekte de onderzoeker een gigantisch, maar onbekend botnet. Het ging om de Ponmocup Trojan. Tijdens het monitoren van het verkeer via een geregistreerd domein, werden 1,2 miljoen unieke IP-adressen in slechts 24 uur gemeten.
De reden dat het onbekende botnet toch zo groot kon worden, komt waarschijnlijk omdat de botnetbeheerders lange tijd onopgemerkt bleven. "Ik weet zeker dat er nog meer botnets zoals Ponmocup zijn, die behoorlijk groot zijn, maar nog niet door anti-virusbedrijven en de beveiligingsgemeenschap worden opgemerkt."
Huessy benadrukt dat de omvang van een botnet niet echt uitmaak. "Criminelen hebben geen groot botnet nodig om veel geld te verdienen. Het is altijd afhankelijk van het business model dat de criminelen gebruiken."
Deze posting is gelocked. Reageren is niet meer mogelijk.