Spam, Botnets en een derde plaats voor Nederland
Uit de Q2 rapportage van Spamhaus blijkt dat een nieuw soort botnets stevig in opmars is en dat Nederland niet goed op de kaart staat. Omdat het nieuws type botnets makkelijk onder de radar blijft is het zaak voor IT beheerders goed op te letten.
Spamhaus is een non-profit organisatie die al jaren de verkeersstromen en trends van spam bijhoudt. Voor providers en netwerkbeheerders zijn de werkzaamheden van die organisatie zowel een vloek als een zegen. Als het eigen netwerk bij Spamhaus opvalt heeft dat consequenties. Data die Spamhaus vergaart is namelijk vaak in punt voor spamfiltering en blacklisting. Wie op een Spamhaus lijst staat met zijn IP adres of domeinnaam zal zeer waarschijnlijk minder mail kunnen versturen. De andere kant van het verhaal is dat die zelfde data er ook voor zorgt dat beheerders de instroom van spam kunnen voorkomen.
FastFlux
In de rapportage over Q2 (PDF) staat dat het FastFlux een groter probleem wordt. Achter die naam gaat een slimme, maar uiterst criminele, techniek schuil. Spammers en verspreiders van malware kunnen via FastFlux botnet capaciteit huren. De domeinnamen die ze daar aan koppelen wisselen vervolgens binnen enkele minuten van IP adres. Daarmee is het erg lastig effectief te filteren, omdat het om een grote reeks van IP adressen gaat. Omdat de aanvallen via FastFlux vanaf een besmet IP adres zo kort duren valt het de meeste gebruikers niet eens op dat hun internetverbinding wordt misbruikt. FastFlux bestaat echter niet alleen bij de gratie van gehackte routers, modems en computers van gebruikers thuis. Een deel van IP adressen die opvallen verwijzen naar zakelijk gebruik (dat zijn vaak andere IP reeksen dan de echte consumenten aansluitingen). Daarom is het voor IT beheerders zaak goed op te blijven letten. Een kortstondige piek in het verkeer kan hinten op een systeem in het netwerk dat deel uitmaakt van een botnet dat goed in staat is onder de radar te blijven. De schade die FastFlux aanricht is groot, ook daarom is het zaak alert te blijven.
Nederland in top 3
Botnets, in welke vorm dan ook, hebben aansturing nodig. Of dat een server met een vaste plek en IP adres is (weinig waarschijnlijk) of een systeem dat zich verschuilt achter FastFlux maakt voor het volgende punt weinig uit. Spamhaus heeft vastgesteld dat Nederland een onmisbare schakel is voor veel botnets. Het afgelopen kwartaal het derde land was met de meeste C&C (Control & Command) servers. Dat is geen score om trots op te zijn. Wel een score die een ander soort van IT beheerders moet aansporen beter op te letten.
(dit artikel verscheen eerder op ITchannelPRO)
Meer over
Lees ook
Van social engineering tot DMARC-misbruik: TA427’s informatieverzamelkunst
Onderzoekers van Proofpoint volgen verschillende dreigingsactoren, waaronder TA427. Deze dreigingsactor is ook bekend als Emerald Sleet, APT43, THALLIUM of Kimsuky en wordt gelieerd aan Noord-Korea.
Proofpoint: TA547 richt zich op Duitse bedrijven met Rhadamanthys Stealer
Onderzoekers van Proofpoint identificeren een nieuwe e-mailcampagne van TA547. Deze richt zich op Duitse bedrijven en heeft als doel het afleveren van Rhadamanthys malware
Dreigingsactoren leveren malware via YouTube
Proofpoint Emerging Threats ziet dat de aflevering van malware voor het stelen van informatie via YouTube plaatsvindt. Voorbeelden hiervan zijn Vidar, StealC en Lumma Stealer. De aflevering vindt plaats via illegale software en cracks van videogames