image

Politie haalt botnet met 800.000 domeinen offline

donderdag 1 december 2016, 16:35 door Redactie, 14 reacties

De politie heeft gisteren tijdens een internationale operatie in samenwerking met onder andere Europol, Eurojust, FBI en de Duitse politie een omvangrijk botnet offline gehaald. Het gaat om het Avalanche-botnet, dat door cybercriminelen werd gebruikt om wereldwijd malware voor internetbankieren en ransomware te verspreiden. Het Avalanche-botnet bestond gemiddeld uit zo'n 500.000 besmette computers.

Volgens Europol heeft het botnet alleen al bij aanvallen op Duitse banken naar schatting voor een schade van 6 miljoen euro gezorgd. Wereldwijd loopt de schade mogelijk in de honderden miljoenen euro's. Om het botnet uit te schakelen zijn gisteren meer dan 830.000 domeinen in beslag genomen of offline gehaald, zo meldt het Britse National Crime Agency. Deze domeinen werden door de malware gebruikt om met besmette computers te communiceren. Het botnet, dat in 2009 voor het eerst verscheen, bestond uit 600 servers wereldwijd en werd gebruikt voor het hosten van 800.000 domeinen tegelijkertijd. Na de operatie van de opsporingsdiensten is het verkeer tussen geïnfecteerde computers en het botnet in bepaalde gevallen omgeleid om slachtoffers, via hun internetprovider, over de infectie te kunnen informeren.

Cybercriminelen konden de servers van Avalanche huren en gebruiken voor het lanceren van malwarecampagnes, bijvoorbeeld door het versturen van e-mails, maar ook phishingmails en e-mails voor het rekruteren van geldezels werden via de servers verstuurd. Wat betreft de malware ging het om ransomware en banking Trojans die gegevens voor internetbankieren stelen. Met de gestolen gegevens werd vervolgens gefraudeerd. Op het hoogtepunt werd het netwerk gebruikt voor het hosten van allerlei verschillende soorten malware, zoals Citadel, Goznym, Virut, Rovnix, Teslacrypt en Vawtrack. Verder waren er dagelijks zo'n 500.000 computers wereldwijd onderdeel van het botnet. Volgens het Duitse Bundesamtes für Sicherheit in der Informationstechnik (BSI) bestond het botnet voornamelijk uit Windowscomputers en Androidtelefoons.

Avalanche zou geliefd zijn bij cybercriminelen vanwege het dubbele fast-flux-netwerk dat het gebruikte om identificatie en verstoringen te voorkomen, zo meldt de Shadowserver Foundation, een organisatie die botnets monitort en bij de operatie was betrokken. Via fast-flux kunnen botnetbeheerders de ip-adressen en nameservers van een domein in hoog tempo wisselen, zodat het lastig wordt om de locatie van de botnetserver te achterhalen. Ondanks het gebruik van deze tactiek wisten opsporingsdiensten de infrastructuur van het botnet toch in kaart te brengen.

Het internationale onderzoek naar het botnet begon vier jaar geleden in Duitsland nadat ransomware een groot aantal computers in het land had geïnfecteerd. Ook beveiligingsbedrijven zoals Symantec waren bij het onderzoek betrokken. Het Duitse onderzoek wees uit dat het botnet uit een grote hoeveelheid geïnfecteerde computers bestond die gedurende een bepaalde periode zijn aangestuurd vanuit diverse servers in Nederland. Deze servers werden onder andere gebruikt voor het aansturen van de besmette computers en zijn gisteren bij zes verschillende hostingproviders offline gehaald.

Het team High Tech Crime van de politie heeft via Duitse rechtshulpverzoeken op verschillende van de botnetservers internettaps geplaatst. Ook wordt nog verder onderzoek verricht naar de huurders van de servers en naar Nederlandse verdachten. Deze verdachten hielden zich met name bezig met de financiële kant van het criminele proces. Zij fungeerden bijvoorbeeld als geldezel door hun rekeningen beschikbaar te stellen aan criminelen om gestolen geld te kunnen ontvangen en doorsturen.

In totaal zijn in 30 landen acties uitgevoerd, waarbij vijf verdachten werden aangehouden. Daarnaast zijn 39 servers in beslag genomen en 221 servers offline gehaald. In meer dan 180 landen werden infecties aangetroffen.

Reacties (14)
01-12-2016, 17:55 door Anoniem
Mmmmm, druppel op een gloeiende plaat. Er zijn nog te veel botnets op het net.

1 minder 10 meer?

Vijf verdachten aangehouden? Zo weinig? Mooi verdienmodel....
01-12-2016, 18:30 door Anoniem
Mmmmm, druppel op een gloeiende plaat. Er zijn nog te veel botnets op het net.
Dat denk ik niet. Toen laatst 50 cybercriminelen in Rusland werden opgepakt, vielen er direct een tweetal exploit-kits stil (Angler o.a.). Als je kijkt naar het aantal malware families en de achterliggende criminele cyndicaten is een schatting dat er 40 à 50 van deze organisaties verantwoordelijk zijn voor vrijwel alle grote malwarecampagnes (ransomeware, custom malware e.d.). Schakel deze mensen uit en het wordt direct een stuk rustiger online. Vergeet immers niet dat het overgrote deel van de cybercriminelen geen letter kunnen programmeren; zij zijn volledig afhankelijk van dergelijke kits.
01-12-2016, 20:00 door Anoniem
Ik ben er wel blij mee hoor! Ik denk ook dat ze maar eens de opsporingstijd moeten laten meewegen in de straf. Maak je het de overheid erg kostbaar je te vinden, extra lang zitten.
01-12-2016, 20:04 door karma4
Waar draaiden die servers op die offline zijn gehaald? Ik schat zo in Linux... lamp stack.
01-12-2016, 20:21 door Anoniem
Krijgen de hostingproviders of ISPs nou nog op hun donder hiervoor?

Spam netwerken heb je immers toch wel door?
01-12-2016, 20:58 door ph-cofi
Door karma4: Waar draaiden die servers op die offline zijn gehaald? Ik schat zo in Linux... lamp stack.
Religieuze neigingen? Was toch als oud gedrag bestempeld door jezelf?
01-12-2016, 23:06 door Anoniem
Ben ik de enige die hier helemaal geen flikker van gelooft deze "succesverhaaltjes" Als we 1 ding weten is dat overheidsdiensten en levendige fantasie samen gaan. En kom op 830.000 domeinen? Een stuk of 4 nulletjes teveel misschien om lekker indruk te maken?

Laatst ook al zo'n verhaaltje dat ze 4000 domeinen uit de lucht hadden gehaald en gek genoeg merkt niemand daar wat van. Dus enig effect heeft het blijkbaar niet gehad dan(?)
02-12-2016, 00:29 door Anoniem
Goed zeg! Proficiat!
02-12-2016, 09:19 door Anoniem
Door karma4: Waar draaiden die servers op die offline zijn gehaald? Ik schat zo in Linux... lamp stack.

Duh, natuurlijk gaan ze geen Windows gebruiken, wat een waardeloze rommel!
02-12-2016, 10:55 door Illnl - Bijgewerkt: 02-12-2016, 10:57
Door Anoniem:
Door karma4: Waar draaiden die servers op die offline zijn gehaald? Ik schat zo in Linux... lamp stack.

Duh, natuurlijk gaan ze geen Windows gebruiken, wat een waardeloze rommel!

Gelukkig een hoog kwalitatief argument inbegrepen zie ik...
Jezus man, snap ik dat je zoiets anoniem post... maar volgende keer, ga lekker even buiten spelen ofzo.

@karma4, hangt totaal af van waar de server voor gebruikt wordt, vaak wel linux inderdaad, maar zeker niet beperkt
tot.
Voorbeeld:
Ik had vroeger eens te maken met een maloot die malware probeerde te zenden naar me, vanaf zijn windows server,

Maar je ziet ook vaak een Hypervisor draaien en dan 30 linux servers, die allemaal op een enkele windows Hyper-V server draaien.
02-12-2016, 12:12 door karma4
Ik noemde enkel het gebruik van linux op de servers wegens het wel benoemen van het os voor de aangevallen objecten maar niet van gebruikte os door de criminelen.
De keten van een aanval kun je het beste bij de bron bestrijden dat is aanpakken van de criminelen en wat zij gebruiken.

Daar hoort geen os strijd bij met koppen snellen of insinuaties.
Als je echt met security bezig bent moet je dat loslaten.
02-12-2016, 13:14 door Anoniem
eigen schuld dikke bult. moest ie maar geen Botnet hebben.
06-12-2016, 13:34 door Anoniem
Door Anoniem: Krijgen de hostingproviders of ISPs nou nog op hun donder hiervoor?

Spam netwerken heb je immers toch wel door?

Sure en die worden dan braaf off-line getrokken. Even later gaan springen ze over naar de volgende geïnfecteerde klant, nog even los van de landen waar hier niet (of niet snel) iets aan gedaan word.
14-12-2016, 20:22 door Anoniem
Door Anoniem: Mmmmm, druppel op een gloeiende plaat. Er zijn nog te veel botnets op het net.

1 minder 10 meer?

Vijf verdachten aangehouden? Zo weinig? Mooi verdienmodel....

Deel van het botnet is alweer actief...
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.