Nieuws

Nederlandse autoriteiten halen botnet-servers offline

dinsdag 17 juli 2012, 11:31 door Redactie, 5 reacties

De kritiek van een Amerikaans beveiligingsbedrijf dat de Nederlandse autoriteiten laks zijn met de aanpak van botnets heeft effect gehad, want een paar dagen later zijn verschillende Command & Control (C&C) servers van het Grum-botnet offline gehaald. Atif Mushtaq van FireEye ontdekte tijdens zijn onderzoek naar het Grum-botnet dat een aantal belangrijke servers in Nederland waren ondergebracht. Volgens Mushtaq een verstandige keuze, omdat de Nederlandse autoriteiten traditioneel laks met abuse-meldingen zouden omgaan.

Grum is voor ruim 17% van alle spam op het internet verantwoordelijk. De botnetbeheerders hadden de belangrijkste servers in Rusland, Panama en Nederland ondergebracht. Na de blogposting van Mushtaq zijn de C&C-servers op het IP-adres 94.102.51.226 en 94.102.51.227 offline gehaald. "Ik bedank de Nederlandse autoriteiten voor hun snelle actie", zo laat de botnetjager weten.

Providers
Het botnet is nog niet geheel verslagen, omdat twee servers in Panama en Rusland nog altijd operationeel zijn, ondanks alle waarschuwingen en meldingen aan de hostingproviders. "Dit betekent dat via deze twee servers de botnetbeheerders mogelijk gaan proberen om hun botnets via een wereldwijde update terug te krijgen." Toch hebben die nog altijd geen teken van leven vertoond.

"129.000 Android-malware exemplaren in 2012"

Panda lanceert gratis Cloud Antivirus 2.0

Reacties (5)

17-07-2012, 13:40 door Anoniem

Ja, met weghalen spoor je de criminelen op. Sublieme strategie.

17-07-2012, 14:02 door Security Scene Team

Door Redactie: "Ik bedank de Nederlandse autoriteiten voor hun snelle actie", zo laat de botnetjager weten

Ze waren toch laks? hmm...

17-07-2012, 14:09 door Bitwiper

94.102.51.* is van Ecatel.net (met postbus in Den Haag). Ecatel staat bekend als een bulletproof hoster. Oftewel een hoster die illegale praktijken niet alleen tolereert maar ervan profiteert en haar klanten beschermt. En dat is niet sinds gisteren (zie http://www.ispam.nl/archives/16552/ecatel-heeft-met-meest-kwaadaardige-netwerk/ van 9 april 2010).

Een reseller stelt in http://topicworld.net/showthread.php/586815-Elite-offshore-hosting-NL-Ecatel:

Not allowed: Spam, DDoS, Child porn
Allowed: Everything else

Echter, een paar simpele zoekopdrachten op Internet wijzen uit dat Ecatel vaak met kinderporno, spam en DoS attacks in verband is gebracht, en daar niet of lax op reageert. In http://www.webhostingtalk.com/showthread.php?t=1169812 stelt een gebruiker met de naam "Ecatel" dat je je klachten maar in http://helpdesk.ecatel.net/index.php?_m=tickets&_a=submit moet posten (abuse@ lezen ze kennelijk niet daar).

Naast veel klachten kun je ook malloten vinden die vragen of servers bij Ecatel "echt bulletproof" zijn (zie bijv. https://webcache.googleusercontent.com/search?q=cache:WLZkNEMKFqgJ:http://www.hackforums.net/showthread.php%3Ftid%3D679464%2Becatel+botnet+2012&sclient=psy-ab&hl=en&site=&ct=clnk, Google cached, zonder account kom je er niet in).

Recente info in http://www.spamhaus.org/sbl/listings/ecatel.net (let vooral op de herhaalde listings, 94.102.51.237 al voor de 4e keer - een sterke aanwijzing dat Ecatel hier geen ruk aan doet):

17-Jul-2012 05:07 GMT Forum/Comment spam source @80.82.64.25 [2nd listing]
15-Jul-2012 17:23 GMT DDoS botnet controller @89.248.174.37
15-Jul-2012 17:21 GMT Malware distribution @94.102.51.83
13-Jul-2012 08:17 GMT Forum/Comment spam source @93.174.93.85 [2nd listing]
11-Jul-2012 10:18 GMT Forum/Comment spam source @80.82.66.112
10-Jul-2012 10:07 GMT ZeuS botnet controller @80.82.65.99
08-Jul-2012 11:31 GMT Fake-AV botnet controller @94.102.51.237 [4th listing]
07-Jul-2012 08:04 GMT Fake-AV botnet controller @93.174.88.223
07-Jul-2012 04:14 GMT Work at home scammer site (click through redirector to www.simpleprofitfromhome.com)
04-Jul-2012 17:53 GMT Dofoil botnet controller @89.248.172.10

Waarom tolereren we bedrijven als Ecatel überhaupt in Nederland?

17-07-2012, 14:41 door Anoniem

Kennelijk gebruiken ze Spamhaus zelf ook ;-)

http://noc.ecatel.net/ecatel-abuse.html

18-07-2012, 09:02 door Anoniem

Het was niet de NL authoriteit die hier iets gedaan heeft, maar een abusedesk medewerker van een andere ISP die de hoster heeft aangesproken adhv de postings by Security.nl en het Fireeye blog.

De takedown was daarna binnen 4 uur een feit.

Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.

Pick one:

Advertentie

Specialiseer je in Forensisch ICT

Online informatieavond 19 november

Wil jij je specialiseren in digitaal forensisch onderzoek? Je kennis verbreden en tech-nische vaardigheden ontwikkelen? Ontdek de cursus- en opleidingsmogelijkheden van Hogeschool Leiden:

Bachelor Informatica Forensisch ICT (deeltijd)
Master Digital Forensics (vol- en deeltijd)
Module Mobile Forensics
Module Data Analytics

Interesse? Meld je aan!

Lees meer

Vacature

Cybersecurity Trainer / Streamer

Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.

Lees meer

Ik moet ineens mijn portret in mijn Office 365 account stoppen, mag dat?

13-11-2024 door Arnoud Engelfriet

Juridische vraag: Ik werk in de publieke sector bij een organisatie die tussen 500-1000 medewerkers heeft. Vandaag werden wij ...

31 reacties

Lees meer