Cookies op Tweakers

Tweakers maakt gebruik van cookies, onder andere om de website te analyseren, het gebruiksgemak te vergroten en advertenties te tonen. Door gebruik te maken van deze website, of door op 'Ga verder' te klikken, geef je toestemming voor het gebruik van cookies. Wil je meer informatie over cookies en hoe ze worden gebruikt, bekijk dan ons cookiebeleid.

Meer informatie

Miljoenenbotnet weet negen jaar lang onder de radar te blijven

Een groot botnet is al sinds 2006 actief en heeft daarbij minimaal aandacht gekregen van beveiligingsbedrijven. Het Ponmocup-botnet heeft sindsdien meer dan 15 miljoen unieke infecties veroorzaakt en wordt gebruikt voor financieel gewin, claimt Fox-IT.

Het Nederlandse beveiligingsbedrijf Fox-IT heeft de details van het Ponmocup-botnet blootgelegd en de bevindingen in een whitepaper op het Botconf 2015-evenement in Parijs gepubliceerd. Volgens Maarten van Dantzig en Yonathan Klijnsma van het bedrijf is het botnet interessant omdat het geavanceerd en onderschat is. In 2006 werd het al ontdekt en toen van de namen Vundo of Virtumonde voorzien, maar sinds die tijd ebde de aandacht weg.

Op zijn hoogtepunt in 2011 bestond het botnet uit 2,4 miljoen systemen. Inmiddels is dat aantal gedaald tot 500.000 actieve bots, waarmee het nog steeds tot de grootste in omvang van dit moment behoort. Bovendien is het botnet na lange tijd nog steeds bijzonder actief. De beheerders zouden over diepgaande kennis van Windows beschikken en Ponmocup in de loop der jaren geoptimaliseerd en bijgewerkt hebben om het onder de radar te houden. Onder andere maakten ze gebruik van ongedocumenteerde Windows-api's om systeemherstelpunten bij getroffen systemen een reset te geven.

Fox-IT concludeert dat de beheerders Russen zijn, op basis van Russische instructies van de beheerders naar zakelijke partners. Aanvankelijk lag de infectieratio bij landen als Rusland, Oekraïne en Wit-Rusland ook lager. De beheerders gebruiken het botnet waarschijnlijk voor financieel gewin en hebben er misschien wel meerdere miljoenen euro's mee verdiend, speculeert het beveiligingsbedrijf. Het financiële motief leiden de onderzoekers af uit de complexiteit van de command&control-infrastructuur, de moeite die de beheerders doen om analyse van malware te voorkomen en de snelheid waarmee ze reageren bij detectie. Sommige beheerders konden worden aangewezen als actieve deelnemers aan fora voor advertentiefraude.

De inzet voor advertentiefraude blijkt uit een actief ontwikkelde plug-in voor het botnetframework met de naam ppc, wat voor pay-per-click staat. Daarnaast lijkt het framework vooral ingezet te worden tegen Engelstalige bank-, investerings- en handelssites om gevoelige informatie in handen te krijgen die gebruikt kan worden voor fraude. Ook zou met Ponmocup diefstal van bitcoins gepleegd worden.

In totaal heeft Fox-IT 25 plug-ins ontdekt, met namen als avkit, socks, proxy en fbcookie, die door het botnet gebruikt kunnen worden voor verschillende kwaadaardige activiteiten. In de loop der tijd zijn daarvan vierduizend verschillende versies ontwikkeld, wat een indicatie is dat het framework continu wordt bijgewerkt.

Door Olaf van Miltenburg

Nieuwscoördinator

02-12-2015 • 14:57

48 Linkedin Google+

Reacties (48)

Wijzig sortering
Ponmocup... Het klinkt wel schattig.
Inderdaad ik zat er ook naar te kijken ^^ misschien kan Nintendo of de Pokemon Group een Pokemon bedenken voor de naam Ponmocup!

Over dit Topic verder.. ik ben beperkt met bots en politiek etc. maar ondanks dat is het wel duidelijk dat dit een akelig maar slim botje is die velen laat verbazen.

[Reactie gewijzigd door Tri Force op 2 december 2015 18:10]

Inmiddels is dat aantal gedaald tot 500.000 actieve bots, waarmee het nog steeds tot de grootste in omvang van dit moment behoort.
Nogal naïef denk je niet. Helemaal in een topic over een botnet die bijna 10 jaar onopgemerkt gaat :)
Goedemorgen Heren/Dames,

Vraag: wordt een botnet ook door affiliate marketing bureau's ingezet? Snap dat ze daar niet mee adverteren ;), maar is dit enigszins te controleren?

Een vriendin werkt voor een non-profit organisatie en zij vond het bedrag wat ze aan affiliate marketing besteden niet echt in verhoudingen met de opbrengsten. Enig idee/tips?
Uit het artikel:
Het Nederlandse beveiligingsbedrijf Fox-IT heeft de details van het Ponmocup-botnet blootgelegd en de bevindingen in een whitepaper op het Botconf 2015-evenement in Parijs gepubliceerd.
Zo Nederlands is Fox-IT niet meer: nieuws: Nederlands beveiligingsbedrijf Fox-IT overgenomen door Brits concern
@Chainsaw
Alles wat jij noemt is illegaal en men wil het uiteraard liefst voorkomen.
Persoonlijk vind ik kinderporno erger dan miljoenen verlies bij een bank (al het bij financiele schade blijft).
Bank kan er iets aan doen en misbruikte kinderen niet. Dit geldt ook voor terrorisme (ook weer differentiatie in wat voor terrorisme termen jij denkt)

Ik zou niet spreken van vrij spel, maar wereldprioriteiten liggen ergens anders en alle resources die nodig zijn voor eventuele maatregelen ook.
Persoonlijk vind ik dit soort activiteiten vergelijken met kinderporno\terrorisme - appels en peren vergelijken.

Er is veel te weinig internationale samenwerking en kennisdeling als het gaat om preventie van dit soort goed georganiseerde netwerken. Focus komt vaak te liggen op directe en voor iedereen bekende IT dreigingen(crypt lockers, en van die leuke meldingen waar je 100 euro boete aan politie moet betalen :) ) wat dan weer goed van pas komt bij jongens die zo onopvallend mogelijk willen opereren.

Botnet is al langer beklend (LINK) er mist wat innitiatief om er echt iets tegen te doen en dat doet een klene sec. bedrijf niet in uppie.
Echt boeiend nieuws is het niet dat Fox-IT iets (in feite) herhaalt.
Wat doe je\we eraan is een interesanter artikel geweest, hier wil ik een whitepaper over lezen

Op dit item kan niet meer gereageerd worden.


OnePlus 7 Pro (8GB intern) Nintendo Switch Lite LG OLED C9 Google Pixel 3a XL FIFA 19 Samsung Galaxy S10 Sony PlayStation 5 Gamescom 2019

'14 '15 '16 '17 2018

Tweakers vormt samen met Tweakers Elect, Hardware Info, Autotrack, Nationale Vacaturebank, Intermediair en Independer de Persgroep Online Services B.V.
Alle rechten voorbehouden © 1998 - 2019 Hosting door True