Cookies op Tweakers

Tweakers maakt gebruik van cookies, onder andere om de website te analyseren, het gebruiksgemak te vergroten en advertenties te tonen. Door gebruik te maken van deze website, of door op 'Ga verder' te klikken, geef je toestemming voor het gebruik van cookies. Wil je meer informatie over cookies en hoe ze worden gebruikt, bekijk dan ons cookiebeleid.

Meer informatie

Miljoenenbotnet weet negen jaar lang onder de radar te blijven

Een groot botnet is al sinds 2006 actief en heeft daarbij minimaal aandacht gekregen van beveiligingsbedrijven. Het Ponmocup-botnet heeft sindsdien meer dan 15 miljoen unieke infecties veroorzaakt en wordt gebruikt voor financieel gewin, claimt Fox-IT.

Het Nederlandse beveiligingsbedrijf Fox-IT heeft de details van het Ponmocup-botnet blootgelegd en de bevindingen in een whitepaper op het Botconf 2015-evenement in Parijs gepubliceerd. Volgens Maarten van Dantzig en Yonathan Klijnsma van het bedrijf is het botnet interessant omdat het geavanceerd en onderschat is. In 2006 werd het al ontdekt en toen van de namen Vundo of Virtumonde voorzien, maar sinds die tijd ebde de aandacht weg.

Op zijn hoogtepunt in 2011 bestond het botnet uit 2,4 miljoen systemen. Inmiddels is dat aantal gedaald tot 500.000 actieve bots, waarmee het nog steeds tot de grootste in omvang van dit moment behoort. Bovendien is het botnet na lange tijd nog steeds bijzonder actief. De beheerders zouden over diepgaande kennis van Windows beschikken en Ponmocup in de loop der jaren geoptimaliseerd en bijgewerkt hebben om het onder de radar te houden. Onder andere maakten ze gebruik van ongedocumenteerde Windows-api's om systeemherstelpunten bij getroffen systemen een reset te geven.

Fox-IT concludeert dat de beheerders Russen zijn, op basis van Russische instructies van de beheerders naar zakelijke partners. Aanvankelijk lag de infectieratio bij landen als Rusland, Oekraïne en Wit-Rusland ook lager. De beheerders gebruiken het botnet waarschijnlijk voor financieel gewin en hebben er misschien wel meerdere miljoenen euro's mee verdiend, speculeert het beveiligingsbedrijf. Het financiële motief leiden de onderzoekers af uit de complexiteit van de command&control-infrastructuur, de moeite die de beheerders doen om analyse van malware te voorkomen en de snelheid waarmee ze reageren bij detectie. Sommige beheerders konden worden aangewezen als actieve deelnemers aan fora voor advertentiefraude.

De inzet voor advertentiefraude blijkt uit een actief ontwikkelde plug-in voor het botnetframework met de naam ppc, wat voor pay-per-click staat. Daarnaast lijkt het framework vooral ingezet te worden tegen Engelstalige bank-, investerings- en handelssites om gevoelige informatie in handen te krijgen die gebruikt kan worden voor fraude. Ook zou met Ponmocup diefstal van bitcoins gepleegd worden.

In totaal heeft Fox-IT 25 plug-ins ontdekt, met namen als avkit, socks, proxy en fbcookie, die door het botnet gebruikt kunnen worden voor verschillende kwaadaardige activiteiten. In de loop der tijd zijn daarvan vierduizend verschillende versies ontwikkeld, wat een indicatie is dat het framework continu wordt bijgewerkt.

Door Olaf van Miltenburg

Nieuwscoördinator

02-12-2015 • 14:57

48 Linkedin Google+

Reacties (48)

Wijzig sortering

Op dit item kan niet meer gereageerd worden.


Apple iPhone 11 Nintendo Switch Lite LG OLED C9 Google Pixel 4 FIFA 20 Samsung Galaxy S10 Sony PlayStation 5 Politiek en recht

'14 '15 '16 '17 2018

Tweakers vormt samen met Hardware Info, AutoTrack, Gaspedaal.nl, Nationale Vacaturebank, Intermediair en Independer DPG Online Services B.V.
Alle rechten voorbehouden © 1998 - 2019 Hosting door True