Europol en FBI halen grootschalig botnet uit de lucht

Security
Europol en FBI halen grootschalig botnet uit de lucht

Een samenwerking van onder andere de FBI en Europol leidde in november tot het offline halen van het zogeheten Andromeda-botnet. Deze bedreiging verspreidde verschillende families malware, waaronder bijvoorbeeld Petya. Dat blijkt uit een technische analyse die Microsoft schreef, dat zijn beveiligingsonderzoekers liet samenwerken met de autoriteiten.

Andromeda infecteerde computers om ze onderdeel te laten worden van het botnet. Naast bedreigingen als ransomware komen er ook spyware, ddos-malware, achterdeurtjes, banking-trojans, wormen, klik-fraude malware en spambots voort uit het botnet. Door malware te installeren namen de mogelijkheden om kwaadaardige handelingen te verrichten binnen het netwerk van geïnfecteerde machines steeds toe. In totaal zou het om 80 verschillende malware-families gaan. Hackers verkochten Andromeda als bot op fora.

In het afgelopen halfjaar werd Andromeda per maand gemiddeld op 1.095.457 machines gedetecteerd of geblokkeerd. Vooral computers in Aziatische landen zijn getroffen door de bedreiging. Toch wordt er ook wel gesproken van wereldwijde activiteiten, aangezien onder meer Europa en de Verenigde Staten doelwit waren. De drie meest getroffen landen zijn India, Indonesië en Turkije. Nederland komt niet in de top tien voor.

Stappen autoriteiten

Op 29 november wisten de autoriteiten het botnet uit te schakelen. Europol geeft aan dat daarvoor zo’n 1500 domeinen overgenomen zijn. Aanvankelijk gebruikten de kwaadwillenden de domeinen om met besmette machines te communiceren, maar door de internationale samenwerking werden ze omgeleid naar machines van Microsoft. Zo maakten besmette computers verbinding met Microsoft-servers. De techgigant wist op deze manier in 48 uur naar schatting twee miljoen unieke ip-adressen uit 223 landen te bemachtigen.

Naar aanleiding van de activiteiten hebben de wetshandhavingsinstanties een verdachte uit Wit-Rusland gearresteerd. Ook hebben de Duitse autoriteiten besloten om hun activiteiten rondom het Avalanche-botnet, dat in 2016 ontmanteld is, met een jaar te verlengen. Dat zou hard nodig zijn, aangezien een jaar na het ontmantelen nog steeds 55 procent van de geïnfecteerde machines besmet is met Avalanche.