Miljoenenbotnet weet negen jaar lang onder de radar te blijven

Een groot botnet is al sinds 2006 actief en heeft daarbij minimaal aandacht gekregen van beveiligingsbedrijven. Het Ponmocup-botnet heeft sindsdien meer dan 15 miljoen unieke infecties veroorzaakt en wordt gebruikt voor financieel gewin, claimt Fox-IT.

Het Nederlandse beveiligingsbedrijf Fox-IT heeft de details van het Ponmocup-botnet blootgelegd en de bevindingen in een whitepaper op het Botconf 2015-evenement in Parijs gepubliceerd. Volgens Maarten van Dantzig en Yonathan Klijnsma van het bedrijf is het botnet interessant omdat het geavanceerd en onderschat is. In 2006 werd het al ontdekt en toen van de namen Vundo of Virtumonde voorzien, maar sinds die tijd ebde de aandacht weg.

Op zijn hoogtepunt in 2011 bestond het botnet uit 2,4 miljoen systemen. Inmiddels is dat aantal gedaald tot 500.000 actieve bots, waarmee het nog steeds tot de grootste in omvang van dit moment behoort. Bovendien is het botnet na lange tijd nog steeds bijzonder actief. De beheerders zouden over diepgaande kennis van Windows beschikken en Ponmocup in de loop der jaren geoptimaliseerd en bijgewerkt hebben om het onder de radar te houden. Onder andere maakten ze gebruik van ongedocumenteerde Windows-api's om systeemherstelpunten bij getroffen systemen een reset te geven.

Fox-IT concludeert dat de beheerders Russen zijn, op basis van Russische instructies van de beheerders naar zakelijke partners. Aanvankelijk lag de infectieratio bij landen als Rusland, Oekraïne en Wit-Rusland ook lager. De beheerders gebruiken het botnet waarschijnlijk voor financieel gewin en hebben er misschien wel meerdere miljoenen euro's mee verdiend, speculeert het beveiligingsbedrijf. Het financiële motief leiden de onderzoekers af uit de complexiteit van de command&control-infrastructuur, de moeite die de beheerders doen om analyse van malware te voorkomen en de snelheid waarmee ze reageren bij detectie. Sommige beheerders konden worden aangewezen als actieve deelnemers aan fora voor advertentiefraude.

De inzet voor advertentiefraude blijkt uit een actief ontwikkelde plug-in voor het botnetframework met de naam ppc, wat voor pay-per-click staat. Daarnaast lijkt het framework vooral ingezet te worden tegen Engelstalige bank-, investerings- en handelssites om gevoelige informatie in handen te krijgen die gebruikt kan worden voor fraude. Ook zou met Ponmocup diefstal van bitcoins gepleegd worden.

In totaal heeft Fox-IT 25 plug-ins ontdekt, met namen als avkit, socks, proxy en fbcookie, die door het botnet gebruikt kunnen worden voor verschillende kwaadaardige activiteiten. In de loop der tijd zijn daarvan vierduizend verschillende versies ontwikkeld, wat een indicatie is dat het framework continu wordt bijgewerkt.

Door Olaf van Miltenburg

Nieuwscoördinator

Feedback • 02-12-2015 14:5748

02-12-2015 • 14:57

48 Linkedin

Lees meer

'Methbot-botnet voor advertentiefraude levert criminelen per dag miljoenen op' Nieuws van 20 december 2016
Aangepaste Dridex-malware vermomt zichzelf als certificaat Nieuws van 1 juni 2016
Russische veiligheidsdienst arresteert 50 hackers voor stelen 1,7 miljard roebel Nieuws van 1 juni 2016
'Geldroof centrale bank Bangladesh via hack in Swift-software gepleegd' Nieuws van 25 april 2016
Akamai: slagkracht van 'BillGates'-botnet van Linux-machines neemt toe Nieuws van 7 april 2016
'Verspreiding financiële Dyre-malware gestopt door Russische autoriteiten' Nieuws van 8 februari 2016
Moeilijkheidsgraad bitcoinmining stijgt met veertig procent in dertig dagen Nieuws van 22 december 2015
Nieuw ontdekte malware richt zich op back-ups van iOS en BlackBerry Nieuws van 7 december 2015
Fox-IT: bende internetcriminelen stal 100 miljoen dollar Nieuws van 6 augustus 2015
Meer producten en artikelen
Netwerk en systeembeheer

Reacties (48)

-Moderatie-faq
48
42
30
4
0
0
Wijzig sortering
Anoniem: 547546
2 december 2015 21:14
Best wel typisch, net nu vandaag dit nieuws bekend is, voor het eerst iets van gemerkt. De internettoegang werd net even voor 10 seconden afgesloten door XS4ALL met de volgende melding:

"Uw internettoegang is geblokkeerd
Ponmocup is een ernstige besmetting. Daarom is uw internettoegang afgesloten totdat het probleem is opgelost. We hopen op uw begrip hiervoor. Voer onderstaand stappenplan uit om het probleem op te lossen en uw internetverbinding te herstellen. "

Vervolgens worden twee antivirusprogramma's aangeraden om te scannen op Ponmocup. Maar na 10 seconden was er weer internet, dus geen idee of het echt onveilig is. Ik heb zoiets nog nooit gezien op mijn computer. Er stond ook dat het alleen onveilig was voor Windows-computers en ik gebruik zelf een Mac.

Heeft iemand dit ooit eerder meegemaakt of weet iemand hier meer over?
batjes
@Anoniem: 5475462 december 2015 21:23
Geen ervaring met XS4ALL zelf, maar providers willen dit nog wel eens doen. Kan een fout zijn geweest maar om zeker te weten misschien even een belletje plegen met XS4ALL?
Yamotek
2 december 2015 15:15
De belangrijke vragen blijven, hoe kan ik zien of ik 'deel' uitmaak van dit botnet (ben ik geïnfecteerd?). Zo ja, wat kan ik hier tegen doen?

Dan de vragen wat doen ze dan precies? Ze plegen fraude met pay-to-click, ze krijgen dus geld doordat mensen op advertenties klikken die alleen te zien krijgen als je deel uitmaakt van het botnet?

Het is een interessant artikel, maar de 'sappige' of belangrijke details ontbreken nog een beetje.
Dit soort dingen zouden wel kunnen verklaren waarom apparaten soms wat raar reageren en dat het even later gewoon weer prima werkt.
eborn
@Yamotek2 december 2015 16:16
Ik denk eerder dat de fraude gepleegd wordt bij een partij als Google. Als jij een site runt en daarop advertenties toont, dan loont het om een botnet 'clicks' uit te laten voeren op jouw site. Als je daar €1000,- voor kwijt bent aan de botbeheerders, maar Google betaald je elke maand €2000,- aan reclameinkomsten, dan is het interessant.
stresstak
@Yamotek2 december 2015 15:22
ze krijgen dus geld doordat mensen op advertenties klikken die alleen te zien krijgen als je deel uitmaakt van het botnet?
Alweer een reden om advertenties te boycotten.
stin00
2 december 2015 15:15
Volgens de tweede afbeelding is heel Nederland geïnfecteerd, dus ikzelf ook?
Edit: Dit was enigszins sarcastisch bedoeld, vooral niet m'n reactie te letterlijk nemen :+

Hier twee links met tips:

http://blog.teesupport.co...emove-ponmocup-aa-trojan/
http://www.microsoft.com/...wnloader:Win32/Ponmocup.A

Ik heb zojuist SpyHunter 4 geïnstalleerd en deze heeft het Windows 'geheugen' en register gescanned; deze heeft in mijn geval helemaal niets gevonden.
De trial versie kan overigens uiteraard alleen scannen, niet deleten of in quarantaine plaatsen

Voor spyware/adware zaken gebruik Malwarebytes Anti-Malware premium, die zal z'n werk wel goed doen gok ik :)

[Reactie gewijzigd door stin00 op 2 december 2015 16:51]

PolarBear
@stin002 december 2015 15:20
Volgens de tweede afbeelding is heel Nederland geïnfecteerd, dus ikzelf ook?
Ik denk dat je het plaatje te letterlijk neemt.
Mushuke
@PolarBear2 december 2015 17:37
Sheldon, the social convention with humor is that you laugh with it, also when the humorous quote is hidden behind a layer of sarcasm...

OT: heel veel mensen staat veel te weinig stil bij security, veel mensen denken dat ze volledig veilig zitten omdat ze de gratis Avira hebben... 8)7
Anoniem: 80487
@Mushuke3 december 2015 18:05
Er is naast het installeren van Antivirus en een beetje opletten ook niet echt bijzonder veel meer wat je realistisch gezien kan ondernemen...?
Je loopt met infecties per definitie achter de feiten aan dus als je de lul bent, ben je gewoon de lul. Veiligheid is een relatief begrip.

[Reactie gewijzigd door Anoniem: 80487 op 3 december 2015 18:07]

Douweegbertje
@Anoniem: 804873 december 2015 18:16
Als ik ga vergelijken tussen een thuis computer van een random persoon en een computer c.q. computeromgeving die beheerd wordt door een fatsoenlijk bedrijf dan kun je wel degelijk stellen dat mensen veel meer kunnen ondernemen voor een veiligere omgeving.

Ik denk dat met name kennis hier het grootste probleem is, kennis en überhaupt de interesse hebben om een 'veilige' pc te hebben. Veel mensen boeit het niet eens.

Na een infectie loop je alsnog niet achter de feiten aan. Zoiets is gewoon weer ongedaan te maken. Zij het met een fresh install of door middel van domweg opschonen.
Anoniem: 80487
@Douweegbertje3 december 2015 19:46
Als ik ga vergelijken tussen een thuis computer van een random persoon en een computer c.q. computeromgeving die beheerd wordt door een fatsoenlijk bedrijf dan kun je wel degelijk stellen dat mensen veel meer kunnen ondernemen voor een veiligere omgeving.

Ik denk dat met name kennis hier het grootste probleem is, kennis en überhaupt de interesse hebben om een 'veilige' pc te hebben. Veel mensen boeit het niet eens.
Prima, maar een huis tuin en keuken enduser gaat natuurlijk nooit het kennisniveau hebben van iemand die betaald wordt om de boel allemaal een beetje in het gareel te houden.
Laatstgenoemde is en zal per definitie beter gewapend zijn infecties af te wenden en is geen eerlijk ijkpunt.

Dat is voor een deel interesse maar je moet ook niet onderschatten wat voor lastige materie alle ins en outs van computersecurity is voor iemand die inhoudelijk niet in het functioneren van die machine geinterresseerd is. Zelfs de basics.
Je zal nooit verder komen gewoon een antiviruspakketje installeren en ze in de oren knopen dat ze geen willekeurige mails moeten openen.

Ik hoef (bij wijze van) ook niet te weten hoe mijn waterkoker werkt, er moet alleen heet water uit komen nadat ik er koud water in giet en op een knopje druk.
Na een infectie loop je alsnog niet achter de feiten aan. Zoiets is gewoon weer ongedaan te maken. Zij het met een fresh install of door middel van domweg opschonen.
Daar heb ik het ook niet over.
Een virusscanner moet linksom of rechtsom eerst weten wat een virus is voordat het er wat aan kan doen. Dat haalt zo'n virusscanner, op wat oppervlakkige "leermethoden" na, niet uit het luchtledige immers. Er komen op dagelijks basis nog altijd gewoon onopgemerkt legioenen virussen gewoon door courante, en goed geteste virusscanners heen.

[Reactie gewijzigd door Anoniem: 80487 op 3 december 2015 20:01]

Iknik
@stin002 december 2015 15:27
Volgens de tweede afbeelding is heel Nederland geïnfecteerd, dus ikzelf ook?
Volgens mij moet je het niet zo letterlijk nemen, in het artikel staat dat er in totaal 15 miljoen systemen geinfecteerd zijn (waarvan max. 2,4 miljoen tegelijkertijd), dat zou - in jouw interpretatie - betekenen dat in het donkerblauwe gebied op het middelste kaartje in totaal niet meer dan 15 miljoen systemen zouden zijn. Nu heb ik geen exacte data, maar mijn onderbuik fluistert dat dat er wel eens iets meer zouden kunnen zijn ;)
Schway
@Iknik2 december 2015 17:00
Aantal inwoners: 16 967 706 per oktober 2015
bron: http://www.cbs.nl/nl-NL/menu/cijfers/default.htm
Iknik
@Schway3 december 2015 07:45
In Nederland, ja, niet in dat hele donkerblauwe gebied ;)
Mijzelf
@stin002 december 2015 16:22
Volgens de bijschrift zijn '500000+ currently infected'. Het hele plaatje heeft nog geen 500000 pixels, dus 1 blauwe pixel per geinfecteerd systeem levert al een massief blauw beeld.
DJMaze
@stin002 december 2015 17:14
Ik heb zojuist SpyHunter 4 geïnstalleerd
Toen ik dat las dacht ik: "Bij deze ben je geïnfecteerd"

Die software is een doorn in het oog voor velen.
https://www.pcwebplus.nl/...ewtopic.php?f=296&t=14590
Razzah
@stin002 december 2015 16:31
Stel dat er in elke gemeente 1 persoon geïnfecteerd is dan is heel Nederland al blauw, maar dan zijn het nog geen 500 mensen. (dus niet 'heel' Nederland)
Manke
@stin002 december 2015 18:21
Waar antimalware 0 bedreigingen vindt, vindt spyhunter er 402 lol, bedankt voor de tip dus.

Edit: antimalware had 511 pup's gevonden, waarna er 199 bedreigingen overbleven volgens spyhunter, CCleaner heeft er 0 van gemaakt, het waren allemaal cookies. Spyhunter is handig voor erbij dus, maar niet noodzakelijk om te kopen.

[Reactie gewijzigd door Manke op 2 december 2015 19:02]

CAPSLOCK2000
2 december 2015 19:44
Dat krijg je er nu van als je de geheime diensten de middelen geeft om de hele wereld kraken. Dan gaan ze botnetjes bouwen en al hun energie richten op de aanval terwijl we zelf de voordeur open laten staan.
De overheid zou zich moeten richten op het verbeteren van de eigen infrastructuur in plaats van het maken van gaten.
koelpasta
@CAPSLOCK20002 december 2015 22:30
Dat krijg je er nu van als je de geheime diensten de middelen geeft om de hele wereld kraken.
Wat hebben geheime diensten hier mee te maken?
CAPSLOCK2000
@koelpasta2 december 2015 23:31
Wat hebben geheime diensten hier mee te maken?
Twee dingen:
1. Geheime diensten steken veel geld en moeite in het bouwen van botnets.
2. Geheime diensten als de NSA zouden moeten verdedigen tegen dit soort aanvallen en gaten te dichten.

Geheime diensten hebben zowel offensieve als defensieve taken. Er bestaat een inherent conflict tussen die twee taken: moet je een gat melden zodat het (defensief) gedicht kan worden of moet je het geheim houden zodat je het zelf (offensief) kan gebruiken?

Momenteel lijkt men de offensieve taken belangrijker te vinden dan de defensieve taken. Het gevolg is dat er voor gekozen wordt om de eigen bevolking niet te beschermen door gaten te dichten. Liever houdt men de gaten geheim zodat men de vijand er mee kan hacken. Dat die vijand de eigen bevolking terughacked wordt voor lief genomen.

Bijkomend probleem is dat de defensieve taken en offensieve taken dezelfde mate van geheimhouding hebben. Daardoor lopen de bevoegdheden voor en de controle op die taken door elkaar. Uit de documenten van Snowden weten we dat geheime diensten hier handig van gebruik maken om de eigen bevoegdheden te maximaliseren door de politiek in het ongewis te laten over wat ze precies wel en niet mogen, ook in Nederland. Zo weten we dat een Britse geheime dienst hulp heeft geboden om de Nederlandse wetten creatief uit te leggen.

Naar mijn mening zouden die twee taken niet bij dezelfde organisaties moeten liggen en moet er bij conflicten het belang van de eigen bevolking zwaarder wegen dan het vermogen om bij de vijand in te breken.

[Reactie gewijzigd door CAPSLOCK2000 op 2 december 2015 23:37]

nokiaan958GB
@CAPSLOCK20002 december 2015 23:38
Inderdaad. Of hun kennis misbruiken om met de middelen van hun werkgever een centje bij te verdienen.
raro007
@CAPSLOCK20002 december 2015 22:13
Of een mank besturingssysteem die vol met gatten zit?
nachtnet
2 december 2015 15:09
Het zal helaas niet het enige of laatste botnet zijn dat actief is en lange tijd onder de radar gebleven is/blijft. 9 jaar is wel echt lang. (zeker in computer jaren.)
Dat is nog voor de introductie van windows vista.

Hamvraag blijft: Hoe kun je eventuele besmetting ontdekken?

[Reactie gewijzigd door nachtnet op 2 december 2015 15:10]

Vayra
@BillyTheClit2 december 2015 15:42
Jezus, vijf seconden rondkijken op deze site en je ziet dat het bestaat uit een blog sectie en een serie scriptjes waarin doodleuk wat recent links worden geplakt. Logo erboven en kijk es aan... nét echt!

Avoid like the plague.

[Reactie gewijzigd door Vayra op 2 december 2015 15:44]

repmeer
@BillyTheClit2 december 2015 15:28
Wat een schreeuwerige website. Daar ga ik niks downloaden.
Zapato
@BillyTheClit2 december 2015 16:50
Deze site wordt door Nod32 geblokkeerd.
darknessblade
@nachtnet2 december 2015 15:47
dit kan mogelijk worden ondekt als je een up/download tracker hebt geinstaleerd op je pc, die data stuurt/verkrijgt van vreemde ip-adresses.

bv, waneer je pc in iddle modus is
HADES2001
2 december 2015 15:19
Op zich erg slim door geen zware malware te zijn en agresief het systeem te misbruiken gewoon licht op het achtergrond draaien met kleine dingetjes.
ook al verdienen ze een cent per maand per geinfecteerd systeem is dat nog steeds een leuk bedrag.
Lednov
@HADES20012 december 2015 15:28
slow and steady pace wins the race.

En wat ik uit het artikel begrijp, is alleen het bestaan er van aangetoond en is het niet daadwerkelijk opgerold. Dikke kans dat het nog wel even doorgaat dan.
Sandwalker
@Lednov2 december 2015 17:34
Als je weinig data verbruikt, geen dingen stuk maakt en niets doet waar de gebruiker op andere wijze last van heeft dan kan het inderdaad lang aan. De opsporingsinstanties zijn waarschijnlijk niet zo geïnteresseerd en als je gepakt wordt, is het maar zeer de vraag of het tot een proces komt. Je verdient wel geld op een oneigenlijke manier, maar door de beperkte impact is er eigenlijk geen grond voor een strafrechtelijk proces, gezien alle andere prioriteiten bij justitie. Langs de civiele route moet je al een behoorlijk stuk schade hebben gelopen voor het interessant wordt.
The Zep Man
2 december 2015 15:10
Aanvankelijk lag de infectieratio bij landen als Rusland, Oekraïne en Wit-Rusland ook lager.
Naargelang het oude gezegde: "you don't shit where you eat.". Als de beheerders inderdaad Russen zijn, dan is het logisch dat ze zich op het buitenland richten:

• Minder kans op vervolging. Rusland levert namelijk niet uit.
• Meer kans op succes in landen waar meer te halen valt.

[Reactie gewijzigd door The Zep Man op 2 december 2015 15:13]

Nictel
2 december 2015 15:24
Als je dat zo ziet is het kaartje gelijk een goede indicatie van waar mensen wonen en er internet toegang is.

Als het zo lang onder de radar is gebleven zullen de veel voorkomende scanners deze malware niet kunnen detecteren..?
434365
2 december 2015 15:44
Stiekem vind ik het eigenlijk best tof dat er een botnet is wat dus al 9 jaar bestaat.

Verder natuurlijk slechte zaak en neem maar lekker die C&C servers over om de boel te gaan ontmantelen (als dat tenminste een mogelijkheid is, kijkend naar de vermelding van hoe het gebouwd is)

Denk trouwens dat dit wel meer voorkomt hoor, botnets die jaren/decennia onder de radar blijven, dat is immers het (secondaire) doel van de meeste botnets; geheim blijven, dus er zijn er vast nog wel meer die al zo lang of nog langer bestaan. (en als je dan wat verder doordenkt, over bijvoorbeeld Amerikaanse inlichtingsdiensten, die niet vies zijn van wat wetten breken, kan ik me goed voorstellen dat zulke partijen ook vergelijkbare botnets bezitten, hoewel dat natuurlijk enkel speculatie is)
veertje
2 december 2015 15:29
I draai Avira en Mbam premium, maar ik betwijfel dat dit me tegen dit soort dingen kan beschermen.
NLsandman
@veertje2 december 2015 22:29
Niet twijvelen, mbam detecteerd ponmocup.
1 2

Op dit item kan niet meer gereageerd worden.

Tweakers maakt gebruik van cookies

Tweakers plaatst functionele en analytische cookies voor het functioneren van de website en het verbeteren van de website-ervaring. Deze cookies zijn noodzakelijk. Om op Tweakers relevantere advertenties te tonen en om ingesloten content van derden te tonen (bijvoorbeeld video's), vragen we je toestemming. Via ingesloten content kunnen derde partijen diensten leveren en verbeteren, bezoekersstatistieken bijhouden, gepersonaliseerde content tonen, gerichte advertenties tonen en gebruikersprofielen opbouwen. Hiervoor worden apparaatgegevens, IP-adres, geolocatie en surfgedrag vastgelegd.

Meer informatie vind je in ons cookiebeleid.

Sluiten

Toestemming beheren

Hieronder kun je per doeleinde of partij toestemming geven of intrekken. Meer informatie vind je in ons cookiebeleid.

Functioneel en analytisch

Deze cookies zijn noodzakelijk voor het functioneren van de website en het verbeteren van de website-ervaring. Klik op het informatie-icoon voor meer informatie. Meer details

janee

    Relevantere advertenties

    Dit beperkt het aantal keer dat dezelfde advertentie getoond wordt (frequency capping) en maakt het mogelijk om binnen Tweakers contextuele advertenties te tonen op basis van pagina's die je hebt bezocht. Meer details

    Tweakers genereert een willekeurige unieke code als identifier. Deze data wordt niet gedeeld met adverteerders of andere derde partijen en je kunt niet buiten Tweakers gevolgd worden. Indien je bent ingelogd, wordt deze identifier gekoppeld aan je account. Indien je niet bent ingelogd, wordt deze identifier gekoppeld aan je sessie die maximaal 4 maanden actief blijft. Je kunt deze toestemming te allen tijde intrekken.

    Ingesloten content van derden

    Deze cookies kunnen door derde partijen geplaatst worden via ingesloten content. Klik op het informatie-icoon voor meer informatie over de verwerkingsdoeleinden. Meer details

    janee