Een botnet dat onlangs live tijdens een conferentie werd uitgeschakeld is weer online gekomen en in alle hevigheid begonnen met het versturen van spam. Het was de derde poging om het Kelihos-botnet voor goed te laten verdwijnen. In 2011 was Microsoft de eerste die het probeerde. In maart van vorig jaar trokken verschillende partijen ten strijde tegen het botnet en wisten het te neutraliseren.
Al gauw werd duidelijk dat de botnetbeheerders een derde variant van de bot hadden verspreid, genaamd Kelihos.C. Afgelopen februari was het een onderzoeker van CrowdStrike die voor een volgepakte zaal tijdens de RSA conferentie de besmette computers liet 'sinkholen'.
Hierbij maken de bots verbinding met een domein en server die in handen van beveiligingsbedrijven of onderzoekers is, in plaats van de botnetbeheerders.
Terugkeer
De euforie over het uitgeschakelde botnet was van korte duur, zo ontdekte beveiligingsbedrijf Trustwave. De beveiliger trof een golf van 'pump & dump' spamberichten aan die van het herrezen Kelihos-botnet afkomstig waren. "Ongeacht deze spectaculaire uitschakeling, of misschien als gevolg daarvan, is de hoeveelheid door Kelihos verstuurde spam explosief gestegen", stelt Phil Hay.
Uit de cijfers van het bedrijf blijkt dat er nog voldoende bots over zijn om alle spam te versturen. De stijging is zo omvangrijk dat Kelihos inmiddels voor meer dan 50% van alle spam verantwoordelijk is die Trustwave voorbij zag komen. "Dat is niet niks", merkt Hay op. Ook beveiligingsbedrijf Lavasoft zag dat het botnet weer op sterkte is.
Botnet
Hay wijst op het feit dat er inmiddels meerdere pogingen zijn gedaan om Kelihos uit te schakelen, maar het botnet altijd in iets andere vorm terugkeert. "Dat laat zien dat het uitschakelen van botnets misschien hip is, maar tenzij je de mensen arresteert die erachter zitten, of ze op een andere manier hindert, de gevolgen op lange termijn minimaal zijn."
En zelfs als de botnetbeheerders worden gearresteerd, blijft de code van de Kelihos-malware bestaan en kunnen anderen die gebruiken voor het opzetten van hun eigen botnets.
"Het uitschakelen van botnets is niet gemakkelijk of eenvoudig", gaat Hay verder. Hij vindt de pogingen prima en is van mening dat de botnetbeheerders zoveel als mogelijk moeten worden gehinderd. "Verwacht echter geen langdurige resultaten."
Deze posting is gelocked. Reageren is niet meer mogelijk.