Eerder deze week werd er al aan de stoelpoten van het Grum-botnet gezaagd toen er in Nederland twee command en control-servers offline werden gehaald. Nu zijn de laatste command en control-servers ook offline gehaald door Rusland en de Oekraïne.
Het Grum-botnet was een van de grootste botnets ter wereld. In totaal gebruikte het botnet 120.000 verschillende ip-adressen om spam vandaan te versturen. Doordat het beveiligingsbedrijf FireEye zeer alert was en wist samen te werken met tientallen individuen en organisaties is het uiteindelijk gelukt om het Grum-botnet offline te halen.
Nadat de twee command en control servers in Nederland offline werden gehaald werd een van de hoofdservers in Panama ook offline gehaald. Hierdoor hoefde FireEye alleen nog maar één hoofdserver (botmaster) in Rusland offline te krijgen om het botnet helemaal offline te halen.
Dit ging echter niet zo makkelijk als gepland. Toen de botmaster in Panama offline ging kwamen de beheerders van het botnet in actie en werden er ineens zes nieuwe command en control servers in de Oekraïne toegevoegd.
De mensen van FireEye voelde zich even verslagen maar dat duurde maar kort. Ze namen direct contact op met spambestrijder Spamhaus, het Russische Computer Security Incident Response Team en een anonieme onderzoeker die de alias Nova7 gebruikt. Ze stuurde al het bewijsmateriaal omtrent het Grum-botnet naar deze drie partijen door die op hun beurt weer hun contacten inschakelde. Dit zorgde ervoor dat er in een kort tijdbestek van één nacht zowel in Rusland als in de Oekraïne actie werd ondernomen.
In de Oekraïne haalde de Internet Service Provider in kwestie alle 6 de servers offline. In Rusland leek het iets moeizamer te gaan daar kwam de ISP niet in actie maar het bedrijf dat de verbinding levert aan het datacenter besloot om het ip-adres in kwestie te nullen zoals dat zo mooi heet. Hierdoor is het ip-adres onbruikbaar en offline gehaald.
Nu de botnet-beheerders geen actieve command en control servers meer hebben en ook niet langer beschikken over de ip-adressen van deze servers kunnen zij geen nieuwe opdrachten sturen naar de bots.
FireEye laat in een blog weten dat het offline halen van botnets en het voorkomen van spam steeds makkelijker wordt. Doordat via de juiste kanalen ook bedrijven in landen als Rusland en Oekraïne onder druk zijn te zetten om op te treden tegen botnets. Het heeft volgens FireEye dan ook geen zin meer om nieuwe botnets op te zetten want ze zullen steeds sneller offline worden gehaald.
Voorheen waren de command en control servers van botnets vaak actief in Europa en de VS maar nu daar zeer actief wordt opgetreden verkassen de criminelen deze servers vaak naar landen als Rusland en de Oekraïne in de veronderstelling dat ze daar veilig staan. Dat is ook lange tijd zo geweest maar ook daar hebben ze nu actie ondernomen en een van de grootste botnets ter wereld offline gehaald.
10 uur geleden
