Nederland heeft twee command and control-servers van botnet Grum offline gehaald. In Panama en Rusland zijn nog wel Grum-servers operationeel. Het botnet zou begin dit jaar verantwoordelijk zijn geweest voor 33 procent van alle spam.
Het botnet Grum zou al sinds 2008 actief zijn via servers in Nederland, Panama en Rusland. De Nederlandse autoriteiten hebben nu een aantal servers offline gehaald, waarmee het botnet volgens beveiligingsbedrijf FireEye een 'grote slag' is toegebracht.
De vermoedelijke ip-adressen van de servers staan op naam van de Nederlandse hoster Ecatel. Ecatel bevestigt dat de ip-adressen daadwerkelijk aan het hostingbedrijf toebehoren, maar stelt dat het medio juli 'uit eigen beweging' heeft besloten de ip-adressen van het botnet te nullrouten. Ecatel is vaker in verband gebracht met laks optreden tegen kwaadwillende klanten. Zo blokkeerde de Amerikaanse overheid in 2010, vanwege copyrightschending, verschillende sites die bij Ecatel gehost waren. Hostexploit, een opensource-organisatie die internetmisbruik bestrijdt, noemde de Nederlandse hoster 'cybercrime-vriendelijk'.
"Het is geen complete overwinning. De servers in Panama en Rusland zijn nog steeds springlevend", aldus Atif Mushtaq van FireEye. Ook zou het risico bestaan dat de eigenaar zal proberen het botnet met een wereldwijde update te reanimeren. De in Nederland neergehaalde servers waren zogenoemde secondary servers, belast met aan spam gerelateerde activiteiten. De belangrijkere master-servers bevinden zich in Panama en Rusland. Met de master-systemen kunnen de spammers het botnet beheren.
Mushtaq zei vorige week nog dat 'de Nederlandse autoriteiten historisch gezien onwillig zijn met reageren op meldingen van misbruik'. Dit keer bedankt hij de Nederlandse autoriteiten alsnog voor hun snelle reactie. De High Tech Crime Unit was niet bereikbaar voor vragen van Tweakers.net over het neerhalen van de botnet-servers.
Update, 18 juli 2012: reactie Ecatel met betrekking tot nullrouten toegevoegd.