Botnet opereert negen jaar lang onder de radar

Cybercriminelen zijn erin geslaagd een groot botnet negen jaar lang verborgen weten te houden voor beveiligingsbedrijven en opsporingsinstanties. In deze periode zou de groep ruim 15 miljoen unieke machines hebben geïnfecteerd met malware.

Dit meldt het Nederlandse beveiligingsbedrijf Fox-IT. Het botnet wordt het ‘Ponmocup’ botnet genoemd. Het netwerk zou op zijn hoogtepunt, in 2011, uit 2,4 miljoen besmette machines hebben bestaan. De omvang van het botnet is inmiddels flink teruggelopen tot een aantal van 500.000 machines. Hiermee is het netwerk nog steeds het grootste botnet dat op dit moment actief is.

Moeilijk te detecteren

De cybercriminelen achter Ponmocup zouden zeer professioneel te werk gaan en over diepgaande kennis over het Windows besturingssysteem beschikken. De hackers passen de malware op besmette machines continu aan, waardoor de handtekening van de malware verandert en patronen in worden verbroken. Dit maakt detectie van de malware moeilijker en is waarschijnlijk een belangrijke reden dat het botnet dusdanig lang onder de radar heeft kunnen opereren.

Het botnet wordt voornamelijk gebruikt om inkomsten te genereren, onder andere via advertentiefraude, fraude met internetbankieren en aandelen en diefstal van bitcoins. Hoeveel het botnet precies heeft opgeleverd is onduidelijk, maar Fox-IT schat de inkomsten op basis van de professionaliteit van de cybercriminelen op miljoenen euro’s.

Afkomstig uit Rusland

De criminelen achter het botnet zouden afkomstig zijn uit Rusland. Dit concludeert Fox-IT op basis van Russische instructies voor beheerders van het netwerk die zijn aangetroffen. Daarnaast zou het botnet lange tijd geen machines hebben besmet in voormalig Sovjet-landen waaronder Rusland.

Meer informatie over het Ponmocup botnet is te vinden in een blogpost en whitepaper van Fox-IT.

Lees ook
Spam, Botnets en een derde plaats voor Nederland

Spam, Botnets en een derde plaats voor Nederland

Uit de Q2 rapportage van Spamhaus blijkt dat een nieuw soort botnets stevig in opmars is en dat Nederland niet goed op de kaart staat. Omdat het nieuws type botnets makkelijk onder de radar blijft is het zaak voor IT beheerders goed op te letten.

Steeds meer C&C servers voor botnets worden in de cloud gehost

Steeds meer C&C servers voor botnets worden in de cloud gehost

Command & Control (C&C) servers voor botnets worden in toenemende mate in de cloud gehost. Ook is de hoeveelheid C&C infrastructuur die wordt gehost op servers die exclusief voor dit doeleinde worden geregistreerd fors gestegen. Dit blijkt uit het Spamhaus Botnet Threat Report 2017 van Spamhaus Malware Labs. In totaal heeft Spamhaus i1

Nieuw IoT-botnet groeit sneller dan Mirai

Nieuw IoT-botnet groeit sneller dan Mirai

Een nieuw botnet dat bestaat uit Internet of Things apparaten is ontdekt. Onder meer draadloze IP-camera’s van bedrijven als GoAhead, D-Link, TP-Link, AVTECH, NETGEAR, MikroTik, Linksys en Synology maken onderdeel uit van het botnet. Hiervoor waarschuwt Check Point Software Technologies. Het beveiligingsbedrijf waarschuwt dat dit nieuwe botnet ve1