Kaspersky: No-IP.com vaak gebruikt voor botnets
De DDNS-aanbieder No-IP.com heeft inmiddels alle domeinen terug die recent door Microsoft in beslag werden genomen, maar de provider is niet zo onschuldig als het doet overkomen, zo stelt Eugene Kaspersky, oprichter van het gelijknamige Russische anti-virusbedrijf.
No-IP.com biedt gratis Dynamische DNS (DDNS)-diensten aan, waarmee gebruikers gratis allerlei subdomeinen kunnen aanmaken en aan een IP-adres koppelen. Volgens Microsoft werd No-IP op grote schaal door de Bladabindi en Jenxcus-malware gebruikt en stapte het daarom naar de rechter, waarbij het de controle over de domeinen van No-IP.com eiste. De rechter stond het verzoek toe, waardoor het verkeer naar deze domeinen op de servers van Microsoft uitkwam.
Microsoft kon al het verkeer volgens No-IP.com niet aan, waardoor miljoenen websites offline gingen. In een verklaring stelde de softwaregigant dat er inderdaad fouten bij de operatie waren gemaakt, waardoor ook onschuldige gebruikers van de DDNS-dienst werden getroffen. No-IP.com liet eergisteren weten dat het alle in beslag genomen domeinen weer terug heeft.
Cybercrime
Volgens Kaspersky wordt No-IP.com regelmatig door cybercriminelen gebruikt. Daarnaast zou het bedrijf van alle grote providers het minst willen meewerken aan verzoeken om cybercrime aan te pakken. Zo negeerde het bedrijf alle verzoeken van Kaspersky Lab over een botnet-sinkhole. "Onze analyse van huidige malware laat zien dat No-IP vaak door cyberzwijnen voor het besturen van botnets wordt gebruikt. Dit wordt door VirusTotal bevestigd: 4,5 miljoen unieke malware exemplaren zijn van No-IP afkomstig", aldus Kaspersky.
Uit de statistieken blijkt dat No-IP.com procentueel gezien veel malware host. Malware domeinen op No-IP.com genereerden 30.000 detecties. Een van de meest kwaadaardige domeinen eindigend op .com genereerde echter 429.000 detecties. Het sluiten van alle domeinen van No-IP.com is dan ook niet effectiever dan het sluiten van één enkel veelgebruikt malware-domein eindigend op .com, .net of zelfs .ru. "Samengevat, zelfs als je alle DDNS-aanbieders zou sluiten, zou het internet nog steeds 'niet' schoner worden zodat het verschil merkbaar is", concludeert de Russische virusbestrijder.
Het is me ook niet duidelijk wat de nummers moeten bewijzen. Hoe "slecht" de aanbieder wel niet is? Hoe vergelijk je deze nummers dan met gebruik van niet-malware? Want je zou zo maar kunnen concluderen dat wel 27,5 % van alle no-ip gebruikende hosts vol zit met malware, maar het zou net zo goed kunnen zijn dat zoveel procent van hun "detecties" aanvragen doet naar, wat vaak parametrisch-willekeurig gegenereerde aanvragen zijn en verder weinig hoeven te betekenen. Je kan dus uit het tabelletje ook al niet opmaken hoe "malwarig" no-ip als organisatie is, wat de inleiding wel claimt.
Met andere woorden, lijkt op de gebruikelijke overtikFUD zonder enige nuttige inhoud. Als er wel inhoud is dan is'ie goed verstopt, en dat is nou niet wat een journalist hoort te doen. Dit stukje heeft dan ook nul journalistieke waarde.
Als 'anti'-virus toko is het toch alleen maar handig dat veel malware zich clustert op 1 domein?
Laat je standaard heuristic daar op los...
Bovendien deze statistieken laten zien dat er minstens 4 dns-hosters (geen malware hosters dus) ergere klanten hebben.
En dat het aantal detecties in samenhang met aantal klanten en percentage malware ook nog meevalt ten opzichte van andere toko's...
Dus helaas... weer een gevalletje van FUD, Marketing en my-enemies enemies are my friend handelen...
Deze posting is gelocked. Reageren is niet meer mogelijk.
Junior DevOps Engineer
Certified Secure is op zoek naar een Junior DevOps Engineer. Deze functie is een stuk interessanter dan de term doet vermoeden! Om jou als potentiële nieuwe collega meteen te laten zien wat we doen hebben we speciaal voor jou een selectie gemaakt van een aantal leuke security challenges. Are you ready for a challenge?
Cybersecurity Trainer / Streamer
Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.
