Microsoft heeft de controle gekregen over de domeinnaam die door de SolarWinds-backdoor wordt gebruikt. Zodoende kan het techbedrijf zien bij welke bedrijven en organisaties er nog besmette systemen actief zijn. Aanvallers voegden een backdoor toe aan updates voor het SolarWinds Orion Platform.
Dit is een oplossing voor het monitoren van it-omgevingen die door 33.000 bedrijven en organisaties wereldwijd wordt gebruikt. 18.000 klanten installeerden de besmette updates. Eenmaal geïnstalleerd maakt de backdoor verbinding met een subdomein van avsvmcloud[.]com voor het downloaden van aanvullende malware en verdere communicatie met de aanvallers. De domeinnaam is nu in handen van Microsoft, zo meldt it-journalist Brian Krebs. Microsoft bevestigde dit vervolgens ook via Twitter.
Doordat het techbedrijf de domeinnaam in handen heeft kan het de ip-adressen zien van servers die er nog steeds verbinding mee maken. Eerder werden organisaties die gebruikmaken van het SolarWinds Orion Platform opgeroepen om te kijken of er vanuit hun netwerk verkeer naar de domeinnaam in kwestie is gegaan. Het is niet de eerste keer dat Microsoft een domeinnaam in handen krijgt die door cybercriminelen is gebruikt. Het techbedrijf deed dit eerder bij verschillende operaties tegen botnets en bij phishingaanvallen gebruikte domeinen.
Deze posting is gelocked. Reageren is niet meer mogelijk.