Botnet opereert negen jaar lang onder de radar
Cybercriminelen zijn erin geslaagd een groot botnet negen jaar lang verborgen weten te houden voor beveiligingsbedrijven en opsporingsinstanties. In deze periode zou de groep ruim 15 miljoen unieke machines hebben geïnfecteerd met malware.
Dit meldt het Nederlandse beveiligingsbedrijf Fox-IT. Het botnet wordt het ‘Ponmocup’ botnet genoemd. Het netwerk zou op zijn hoogtepunt, in 2011, uit 2,4 miljoen besmette machines hebben bestaan. De omvang van het botnet is inmiddels flink teruggelopen tot een aantal van 500.000 machines. Hiermee is het netwerk nog steeds het grootste botnet dat op dit moment actief is.
Moeilijk te detecteren
De cybercriminelen achter Ponmocup zouden zeer professioneel te werk gaan en over diepgaande kennis over het Windows besturingssysteem beschikken. De hackers passen de malware op besmette machines continu aan, waardoor de handtekening van de malware verandert en patronen in worden verbroken. Dit maakt detectie van de malware moeilijker en is waarschijnlijk een belangrijke reden dat het botnet dusdanig lang onder de radar heeft kunnen opereren.
Het botnet wordt voornamelijk gebruikt om inkomsten te genereren, onder andere via advertentiefraude, fraude met internetbankieren en aandelen en diefstal van bitcoins. Hoeveel het botnet precies heeft opgeleverd is onduidelijk, maar Fox-IT schat de inkomsten op basis van de professionaliteit van de cybercriminelen op miljoenen euro’s.
Afkomstig uit Rusland
De criminelen achter het botnet zouden afkomstig zijn uit Rusland. Dit concludeert Fox-IT op basis van Russische instructies voor beheerders van het netwerk die zijn aangetroffen. Daarnaast zou het botnet lange tijd geen machines hebben besmet in voormalig Sovjet-landen waaronder Rusland.
Meer informatie over het Ponmocup botnet is te vinden in een blogpost en whitepaper van Fox-IT.
Lees ook
ZeroAccess klikfraudebotnet duikt opnieuw op
Het ZeroAccess botnet werd in 2013 door Microsoft uit de lucht gehaald. Het botnet is echter uit zijn as herrezen en springlevend. ZeroAccess richt zich opnieuw op klikfraude en datadiefstal. Cybercriminelen richtte zich met de originele variant van ZeroAccess voornamelijk op grote zoekmachines en webbrowsers. Door deze te hacken wisten de hackers grote hoeveelheden bezoekers door te sluizen naar hun eigen websites, waar bezoekers malware kregen aangeboden. Met behulp van deze malware werden de geïnfecteerde machines vervolgens weer toegevoegd aan het botnet, waardoor deze explosief groeide.1
Hackers zoeken gebruikers die dezelfde inloggegevens gebruiken bij meerdere online diensten
Veel gebruikers kiezen ervoor op internet één wachtwoord te gebruiken voor het beveiligen van meerdere online diensten. Indien cybercriminelen één account weten te kraken kunnen zij hierdoor direct toegang krijgen tot meerdere accounts. Onderzoeksbureau Gartner waarschuwt voor het gevaar dat dit oplevert. Avivah Litan, onderzoeker bij Gartner, waa1
Bedrijven halen gemiddeld iedere 27 minuten een onbekende malware-variant binnen
Beveiliging is belangrijk. Hoe belangrijk dit precies is blijkt uit cijfers over de hoeveelheid malware die bedrijven voor hun kiezen krijgen. Binnen de gemiddeld organisatie wordt iedere tien minuten malware gedownload naar een systeem. Iedere 27 minuten gaat het om een onbekende malware-variant, die niet voorkomt in databases van beveiligingsopl1