Spamhaus ziet sterke stijging van nieuwe botnetservers in tweede kwartaal
Het aantal nieuwe botnetservers is in het tweede kwartaal sterk gestegen, zo meldt spambestrijder Spamhaus in een nieuw kwartaalrapport. Was er in het eerste kwartaal nog sprake van een daling van 57 procent, het tweede kwartaal kende een stijging van 77 procent. Het ging om bijna 3600 nieuwe servers gebruikt voor het aansturen van botnets.
2700 van deze servers werden direct bestuurd door criminelen. Die maken gebruik van gestolen of vervalste gegevens om virtual private servers (VPS) of dedicated servers te huren, die vervolgens worden gebruikt als command & control van een botnet. Verder meldt Spamhaus dat het in het tweede kwartaal langer duurde om botnetservers uit de lucht te halen.
Net als voorgaande kwartalen werden de meeste botnetservers in de Verenigde Staten gehost, gevolgd door Rusland en Nederland. Ons land telde in het tweede kwartaal 337 botnetservers. Een stijging van 61 procent ten opzichte van het vorige kwartaal.
De malware die via de botnetservers wordt aangestuurd blijkt voornamelijk in de categorie "credential stealer" te vallen. Het gaat dan om malware die zaken als wachtwoorden steelt. Van de Top 10 malware-exemplaren waren er zes een credential stealer.
Spamhaus haalt in het kwartaaloverzicht uit naar domeinregistrar Namecheap. Dit bedrijf blijkt al geruime tijd de meestgebruikte registrar te zijn voor het registreren van door botnetservers gebruikte domeinnamen. Daarnaast verscheen Namecheap ook in de Top 10 van netwerken waar in het tweede kwartaal de meeste botnetservers waren ondergebracht.
Ik zie bijvoorbeeld voortdurend "hinderlijke activiteit" vanuit VPS'en die verhuurd worden door Russische bedrijven, maar die fysiek in Nederland zitten.
Kennelijk dient het Russische bedrijf als een "bulletproof hosting" dekmantel voor activiteiten vanuit Nederlandse datacenters.
Men weet natuurlijk dat als men rechtstreeks als Nederlandse hoster de markt op gaat er veel meer gezeur is met autoriteiten enzo.
Dus kwaadaardige websites by default gemaakt door cybercriminele malcreanten en legitieme websites die door criminelen worden overgenomen en geinjecteerd en zelfs gehard tegen de eigen bezitters (die vaak geen partij blijken voor deze cybercriminelen)
luntrus
Je begint op 100%. Na 1 kwartaal zit je op 43% (57% daling).
En dan stijg je 77% op die 43%. Dan zit je nog steeds maar op 76% van het 4e kwartaal vorig jaar.
De titel klinkt dramatisch, maar we zitten nog steeds niet op het oude niveau.
Ik zie bijvoorbeeld voortdurend "hinderlijke activiteit" vanuit VPS'en die verhuurd worden door Russische bedrijven, maar die fysiek in Nederland zitten.
Kennelijk dient het Russische bedrijf als een "bulletproof hosting" dekmantel voor activiteiten vanuit Nederlandse datacenters.
Men weet natuurlijk dat als men rechtstreeks als Nederlandse hoster de markt op gaat er veel meer gezeur is met autoriteiten enzo.
Plus dat landsgrezen geen reet uit maken op het internet. Ook al zouden 100% van de C&C servers in Rusland zitten, dan zouden het nog steeds 100% amerikaanse burgers kunnen zijn die ze aansturen. Oftewel het zegt niets. Simpwel komt het er op neer: "waar heeft men voor de doelgroep van attack de beste internet verbinding en zitten we toch een paar juridische deurtjes verderop".
Dat het Rusland betreft. Of Nederland. Of Amerika, zegt imho meer iets over de kwaliteit van de verbindingen. En het feit dat wss de aanstuurders gewoon niet in het land wonen waar ze hosten. Ik denk persoonlijk dat ze het liefst Zuid Timboektoe hadden gehad of een of ander vaag Afrikaans land zonder enige redelijke vorm van juridisch apparaat en/of bestuur als ze simpelweg een goede internetverbinding hadden.
Bijvoorbeeld op een of ander Tropical Island Nation en daar je ware registratie niet willen vrijgeven.
Moet je eerst even op Trustpilot kijken of je met spam, scam of fraude te maken hebt.
Russische bullet proof hostertjes zitten ook vaak in het zuiden des lands of komen ze wellicht uit de Ukraina.
Deze organisatie staat bekend als het Russian Bussiness Network (Kriminalnaya Rossiya),
Verdachte domeinen eindigen vaak op dot su = soviet union.
Vergeet nooit dat de gewone Rus een sympathieke, vaak goed opgeleide en van nature gastvrije mens is,
die het thuis ongelooflijk gezellig kan hebben en maken,
maar bang is voor de onveilige chaos die soms buiten op straat om hem heerst.
(Eigenlijk betreft het slechts Moskou, de rest is niet het echte Rusland,
net als bij ons Mokum en de mediene. (Jidd. = stad en gewest).)
Maar zo is het eigenlijk met alle end-users, waar ook ter wereld.
Niet allle end-users zijn (cyber)-crimineel.
Niet elke hacker is een defacer, niet elke pentester is een resource engineer of een betrouwbar researcher.
Niet elke slimmerik is kwaadaardig by default, maar er zijn er wel zonder ethiek, scrupules noch empathie.
Scheidt het kaf van het koren.
luntrus
Deze posting is gelocked. Reageren is niet meer mogelijk.
Specialiseer je in Forensisch ICT
Online informatieavond 19 november
Wil jij je specialiseren in digitaal forensisch onderzoek? Je kennis verbreden en tech-nische vaardigheden ontwikkelen? Ontdek de cursus- en opleidingsmogelijkheden van Hogeschool Leiden:
- Bachelor Informatica Forensisch ICT (deeltijd)
- Master Digital Forensics (vol- en deeltijd)
- Module Mobile Forensics
- Module Data Analytics
Interesse? Meld je aan!
Cybersecurity Trainer / Streamer
Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.
