Een groot botnet is al sinds 2006 actief en heeft daarbij minimaal aandacht gekregen van beveiligingsbedrijven. Het Ponmocup-botnet heeft sindsdien meer dan 15 miljoen unieke infecties veroorzaakt en wordt gebruikt voor financieel gewin, claimt Fox-IT.
Het Nederlandse beveiligingsbedrijf Fox-IT heeft de details van het Ponmocup-botnet blootgelegd en de bevindingen in een whitepaper op het Botconf 2015-evenement in Parijs gepubliceerd. Volgens Maarten van Dantzig en Yonathan Klijnsma van het bedrijf is het botnet interessant omdat het geavanceerd en onderschat is. In 2006 werd het al ontdekt en toen van de namen Vundo of Virtumonde voorzien, maar sinds die tijd ebde de aandacht weg.
Op zijn hoogtepunt in 2011 bestond het botnet uit 2,4 miljoen systemen. Inmiddels is dat aantal gedaald tot 500.000 actieve bots, waarmee het nog steeds tot de grootste in omvang van dit moment behoort. Bovendien is het botnet na lange tijd nog steeds bijzonder actief. De beheerders zouden over diepgaande kennis van Windows beschikken en Ponmocup in de loop der jaren geoptimaliseerd en bijgewerkt hebben om het onder de radar te houden. Onder andere maakten ze gebruik van ongedocumenteerde Windows-api's om systeemherstelpunten bij getroffen systemen een reset te geven.
Fox-IT concludeert dat de beheerders Russen zijn, op basis van Russische instructies van de beheerders naar zakelijke partners. Aanvankelijk lag de infectieratio bij landen als Rusland, Oekraïne en Wit-Rusland ook lager. De beheerders gebruiken het botnet waarschijnlijk voor financieel gewin en hebben er misschien wel meerdere miljoenen euro's mee verdiend, speculeert het beveiligingsbedrijf. Het financiële motief leiden de onderzoekers af uit de complexiteit van de command&control-infrastructuur, de moeite die de beheerders doen om analyse van malware te voorkomen en de snelheid waarmee ze reageren bij detectie. Sommige beheerders konden worden aangewezen als actieve deelnemers aan fora voor advertentiefraude.
De inzet voor advertentiefraude blijkt uit een actief ontwikkelde plug-in voor het botnetframework met de naam ppc, wat voor pay-per-click staat. Daarnaast lijkt het framework vooral ingezet te worden tegen Engelstalige bank-, investerings- en handelssites om gevoelige informatie in handen te krijgen die gebruikt kan worden voor fraude. Ook zou met Ponmocup diefstal van bitcoins gepleegd worden.
In totaal heeft Fox-IT 25 plug-ins ontdekt, met namen als avkit, socks, proxy en fbcookie, die door het botnet gebruikt kunnen worden voor verschillende kwaadaardige activiteiten. In de loop der tijd zijn daarvan vierduizend verschillende versies ontwikkeld, wat een indicatie is dat het framework continu wordt bijgewerkt.