ZeroAccess klikfraudebotnet duikt opnieuw op
Het ZeroAccess botnet werd in 2013 door Microsoft uit de lucht gehaald. Het botnet is echter uit zijn as herrezen en springlevend. ZeroAccess richt zich opnieuw op klikfraude en datadiefstal.
Cybercriminelen richtte zich met de originele variant van ZeroAccess voornamelijk op grote zoekmachines en webbrowsers. Door deze te hacken wisten de hackers grote hoeveelheden bezoekers door te sluizen naar hun eigen websites, waar bezoekers malware kregen aangeboden. Met behulp van deze malware werden de geïnfecteerde machines vervolgens weer toegevoegd aan het botnet, waardoor deze explosief groeide.
Klikfraude
Het botnet werd voornamelijk gebruikt voor klikfraude. Microsoft schatte in 2013 dat dit adverteerders wereldwijd maandelijks zo’n 2,7 miljoen dollar kostte. De Amerikaanse IT-gigant opende daarop samen met Norton by Symantec de aanval op het botnet en wist deze uit de lucht te halen.
Het botnet is in totaal zo’n zes maanden inactief geweest. Onderzoekers van Dell SecureWorks melden dat het peer-to-peer botnet op 21 maart 2014 voor het eerst weer opdook, waarna de hackers tot 2 juli 2014 bezig zijn geweest met het herbouwen van het netwerk. Op 15 januari 2015 zouden voor het eerst weer klikfraude templates, templates die machines in het netwerk vertellen wat zij moeten doen, gedistribueerd zijn naar het botnet.
Geen nieuwe machines
De onderzoekers merken op dat er sinds de aanpak van Microsoft in 2013 geen nieuwe machines meer zijn toegevoegd aan het botnet. Het huidige botnet bestaat dus volledig uit machines die sinds 2013 al besmet zijn met de malware van de aanvallers. Het is natuurlijk de vraag hoe lang het duurt voordat de cybercriminelen het botnet weerbeginnen uit te breiden.
Tussen 17 januari en 25 januari 2015 hebben de onderzoekers in totaal 55,028 unieke IP-adressen weten te identificeren die deelnemen aan het botnet. De meeste hiervan zijn afkomstig uit Japan, India en Rusland. Er zitten echter ook IP-adressen tussen uit Duitsland, Italië, Roemenië, de Verenigde Staten, Brazilië, Venezuela en Taiwan.
Meer over
Lees ook
Miljoenen berichten verspreiden LockBit 3.0
Proofpoint observeert sinds 24 april 2024 dagelijks en gedurende ongeveer een week lang campagnes met grote volumes en miljoenen berichten, gefaciliteerd door het Phorpiex-botnet.
Proofpoint 2023 Voice of the CISO-rapport: Personeelsverloop verergert dataverlies
Proofpoint, een toonaangevend cybersecurity- en compliance-bedrijf, publiceert zijn jaarlijkse Voice of the CISO-rapport, waarin de belangrijkste uitdagingen, verwachtingen en prioriteiten van Chief Information Security Officers (CISO's) zijn onderzocht. 58% van de Nederlandse CISO's verwacht in de komende 12 maanden een cyberaanval op hun bedrijf.
Spam, Botnets en een derde plaats voor Nederland
Uit de Q2 rapportage van Spamhaus blijkt dat een nieuw soort botnets stevig in opmars is en dat Nederland niet goed op de kaart staat. Omdat het nieuws type botnets makkelijk onder de radar blijft is het zaak voor IT beheerders goed op te letten.