Andromeda botnet offline gehaald door Europol en FBI

Internationale opsporingsinstanties hebben in samenwerking met private partners het Andromeda botnet opgerold. De malware Andromeda - ook bekend als Gamarue - werd gebruikt om 80 verschillende malwarevarianten te verspreiden naar geïnfecteerde systemen en was per maand aanwezig op gemiddeld een miljoen systemen.

Het gaat om een actie van de Amerikaanse FBI in samenwerking met het Luneburg Central Criminal Investigation Inspectorate in Duitsland, Europol’s European Cybercrime Centre (EC3), de Joint Cybercrime Action Task Force (J-CAT), Eurojust en private partners. Europol spreekt van de langst lopende malwarefamilie ooit.

Malware verspreiden

Microsoft meldt het verspreiden van andere malware het belangrijkste doel was van Andromeda. Ook speelde de malware een belangrijke rol bij het Avalanche netwerk. Dit botnet werd gebruikt om malware te distribueren, gestolen geld over landsgrenzen te verspreiden en Distributed Denial of Service (DDoS) aanvallen op te zetten. Informatie die werd verzameld tijdens het onderzoek naar Avalanche heeft uiteindelijk bijgedragen aan het offline halen van de Andromeda malware.

In totaal zijn 1.500 domeinnamen die werden gebruikt door Andromeda onschadelijke gemaakt met behulp van 'sinkholing'. Hierbij wordt verkeer naar deze domeinnamen omgeleid naar een veilige server, zodat de malafide domeinnamen geen schade meer kunnen aanrichten. Microsoft meldt dat gedurende een periode van 48 uur waarin deze techniek werd ingezet, ongeveer 2 miljoen unieke IP-adressen uit 223 landen verbinding hebben geprobeerd te maken met de malafide domeinnamen. Deze systemen zijn geïnfecteerd met de Andromeda malware.

Bij de actie is in Wit-Rusland één persoon gearresteerd.