Nederlandse autoriteiten halen Grum-botnet offline - update

Nederland heeft twee command and control-servers van botnet Grum offline gehaald. In Panama en Rusland zijn nog wel Grum-servers operationeel. Het botnet zou begin dit jaar verantwoordelijk zijn geweest voor 33 procent van alle spam.

Het botnet Grum zou al sinds 2008 actief zijn via servers in Nederland, Panama en Rusland. De Nederlandse autoriteiten hebben nu een aantal servers offline gehaald, waarmee het botnet volgens beveiligingsbedrijf FireEye een 'grote slag' is toegebracht.

De vermoedelijke ip-adressen van de servers staan op naam van de Nederlandse hoster Ecatel. Ecatel bevestigt dat de ip-adressen daadwerkelijk aan het hostingbedrijf toebehoren, maar stelt dat het medio juli 'uit eigen beweging' heeft besloten de ip-adressen van het botnet te nullrouten. Ecatel is vaker in verband gebracht met laks optreden tegen kwaadwillende klanten. Zo blokkeerde de Amerikaanse overheid in 2010, vanwege copyrightschending, verschillende sites die bij Ecatel gehost waren. Hostexploit, een opensource-organisatie die internetmisbruik bestrijdt, noemde de Nederlandse hoster 'cybercrime-vriendelijk'.

"Het is geen complete overwinning. De servers in Panama en Rusland zijn nog steeds springlevend", aldus Atif Mushtaq van FireEye. Ook zou het risico bestaan dat de eigenaar zal proberen het botnet met een wereldwijde update te reanimeren. De in Nederland neergehaalde servers waren zogenoemde secondary servers, belast met aan spam gerelateerde activiteiten. De belangrijkere master-servers bevinden zich in Panama en Rusland. Met de master-systemen kunnen de spammers het botnet beheren.

Mushtaq zei vorige week nog dat 'de Nederlandse autoriteiten historisch gezien onwillig zijn met reageren op meldingen van misbruik'. Dit keer bedankt hij de Nederlandse autoriteiten alsnog voor hun snelle reactie. De High Tech Crime Unit was niet bereikbaar voor vragen van Tweakers.net over het neerhalen van de botnet-servers.

Update, 18 juli 2012: reactie Ecatel met betrekking tot nullrouten toegevoegd.

IT-banen

Reacties (43)

the-dark-force 17 juli 2012 16:02

dus eigenlijk is het botnet niet neer maar hebben ze een paar spam servers offline gehaald ?
allemaal heel leuk en aardig maar het enige wat je dan doet is de criminelen een seintje geven dat je achter ze aanzit , waardoor ze zich nog dieper ingraven en je ze nooit meer vind.

bedankt moderators

wat apple ermee te maken heeft snap ik ook niet helemaal...
als je fipo hunter wilt zijn doe dat dan met een one-liner die ergens op slaat i.p.v. trollen.
niemand houd van apple fanboys of apple bashers.

ik heb trouwens nooit echt begrepen hoe mensen nou verdienen aan spam.
als je cc gegevens steelt of login gegevens dan snap ik dat er geld verdiend kan worden maar spam ?

mvdejong @the-dark-force • 17 juli 2012 16:19

dus eigenlijk is het botnet niet neer maar hebben ze een paar spam servers offline gehaald ?
allemaal heel leuk en aardig maar het enige wat je dan doet is de criminelen een seintje geven dat je achter ze aanzit , waardoor ze zich nog dieper ingraven en je ze nooit meer vind.

Ze hebben de servers offline gehaald die de bots in het botnet de opdrachten gaven. Spammen gebeurt allang niet meer vanaf servers, want die adressen worden binnen zeer korte tijd geblokt, maar vanaf duizenden tot miljoenen PC's van idioten die hun PC hebben laten besmetten.

ik heb trouwens nooit echt begrepen hoe mensen nou verdienen aan spam.
als je cc gegevens steelt of login gegevens dan snap ik dat er geld verdiend kan worden maar spam ?

Als je miljoenen en miljoenen mailtjes stuurt voor rotzooi, zijn er altijd wel imbecielen die die rotzooi daadwerkelijk gaan kopen. 't Is net zoals met phishing, 99.99% van de mensen trapt tegenwoordig niet meer in een mailtje van de bank om hun gegevens te bevestigen, maar elke sufkop die er wel intrapt levert vet geld op. De oorspronkelijke investering van het inhuren van capaciteit van het botnet heb je er in beide gevallen vrij snel uit. Het voordeel van spammen van reclame voor producten is dat het veelal niet illegaal is (hoewel in NL de aangeboden pillen wel illegaal zijn).

Daarnaast wordt de mail naast voor echte spam (reclame voor goederen of diensten die daadwerkelijk geleverd worden) ook voor andere activiteiten gebruikt, zoals scams waarbij kopers veel geld betalen voor niet-bestaande zaken als apartementen in dure wijken, scams met trouwlustige dames die alleen nog even een schuld moeten aflossen, enz. En natuurlijk voor mailtjes die bij openen een virus installeren, dat dan weer wel voor harvesting van login- en CC-gegevens verantwoordelijk kan zijn.

Je kunt het ook vergelijken met die TelSell en aanverwante shopping-channels die 's nachts en 's ochtends ook op Nederlandse commerciele zenders actief zijn. Er zijn weinig mensen die daadwerkelijk geloven in de "geweldige kwaliteit" van de getoonde prullaria, maar blijkbaar voldoende om het lonend te maken ze uit te zenden.

the-dark-force @mvdejong • 17 juli 2012 16:22

ok, dank voor je uitleg. geeft me toch wat meer zicht op de materie.

mvdejong @the-dark-force • 17 juli 2012 16:31

Aanvulling :
Het is tegenwoordig allang niet meer zo dat spammers zelf dit soort botnets hebben. Spammers zijn gewoonlijk redelijk simpele commerciele clubjes, een botnet opbouwen en overeind houden vergt een IT-kennis die in de meeste landen niet eens binnen de politionele diensten beschikbaar is.

Botnets worden opgebouwd en onderhouden door goed georganiseerde bendes, die op commerciele basis capaciteit verhuren, bijv. op basis van bijv. het aantal gebruikte PC's of verstuurde maitjes. De genoemde command & control servers zijn de servers die op basis van bestellingen de PC's, of een deel daarvan, de uit te voeren acties opdragen. Natuurlijk gebruiken ze zelf ook de PC's in de botnets om aanvallen uit te voeren op andere PC's om zo het botnet te vergroten en weggevallen bots te vervangen.

J.J.J. Bokma @mvdejong • 18 juli 2012 06:26

"Spammen gebeurt allang niet meer vanaf servers"

Was het maar zo'n feest. Er zijn nog diverse spammers die gewoon via een ISP, bijvoorbeeld in de USA werken. En als ze daar na maanden klagen door o.a. mij, eindelijk weggerot worden, zitten ze binnen een zeer korte tijd bij een andere ISP, ook in de USA.

Mocht je mij niet geloven, wandel mijn inbox in, kan ik je mee laten genieten, geheel gratis. Er zijn tientalle grote ISPs die het niet zo nauw nemen met spam. Voor hun is het een betalende klant versus een paar zeurende, overgevoelige, geeks.

Voorbeeldje: http://www.spamhaus.org/sbl/listings/hostnoc.net

Andere ISPs die in mijn ervaring de andere kant op kijken: MediaTemple (MT), iWeb, dimenoc, OVH, glbx.net.

Plofkotje @J.J.J. Bokma • 18 juli 2012 08:56

OVH is ook een leuke ja, weet niet wat ze daar op de abuse afdeling doen maar je krijgt nooit eens normaal antwoord van ze. Vrij haven voor dit soort tuig. En op het moment dat een spammer eindelijk door OVH offline gehaald is melden ze zich gewoon weer opnieuw aan bij OVH en begint het spelletje overnieuw..

Verwijderd 17 juli 2012 15:53

Nouja, toch 33% spam minder voor volgend jaar

Maar dan zullen ze vast en zeker wel een andere manier vinden..

houseparty @Verwijderd • 17 juli 2012 18:54

Maar dan zullen ze vast en zeker wel een andere manier vinden..

Juist ja: het neerhalen van spam-botnets en het vervolgen van spammers is zinloos zolang het lucratief blijft. Spammers en botnets schieten als paddenstoelen uit de grond, en dat is niet voor niets.

Het enige dat ooit zal werken om spam effectief te bestrijden is dat mensen gewoon niet meer zo dom zijn om op spam in te gaan. Dan is het ook niet lucratief meer, en dus niet lonend. Laat de overheid (of liever nog alle overheden in de landen waar burgers en bedrijven doelwit zijn van spammers) dáár maar eens een flinke informatiecampagne aan weiden.

themac1983 @houseparty • 18 juli 2012 12:16

Dus eigenlijk hoeft men ook niets meer te doen tegen autoinbraken volgens jouw redenering. Als we gewoon elkaar opvoeden en zorgen dat we allemaal netjes onze onderdelen bij de dealer halen hoeven de auto's niet meer gejat en gestript te worden.

Je kunt het 1000x keer uitleggen aan het gros van de mensen, ze zullen gewoon op JA klikken bij elke pop-up die ze niet begrijpen. Elke IT'er weet dit helaas. Zelfs met interne cursussen en campagnes over het gevaar van spam, pop-ups en andere troep blijven mensen het aanklikken.

Het is net als een auto ongeluk, mensen weten dat kijken fout is, maar remmen toch af om het wat beter te zien.

arjankoole

Spam

@Verwijderd • 17 juli 2012 15:55

als een botnet onderuit geharkt wordt, zul je zien dat de spamflow in een kwestie van weken verhuisd is naar andere locatie(s). Onderaan de streep zie je maar kortstondig een dipje, en daarna komt het weer op het oude niveau.

Douweegbertje @Verwijderd • 17 juli 2012 15:59

Als je goed las hebben ze maar wat "backup" servertjes eruit gehaald. Dit kun je gewoon zien als iemand even voor zijn been trappen. Het doet wellicht eventjes zeer en misschien loop je 1 dag even moeilijk maar vervolgens ren je gewoon verder.
Het is een kwestie van wellicht uren voordat hij weer op zijn volledig "kracht" zit. Sterker nog kan het zo zijn dat andere C&C servers nu de oude verloren PC's binnen harken en gewoon weer verder gaan alsof er niets is gebeurt

sfranken @Verwijderd • 17 juli 2012 15:57

Daarom gebruik ik nou gray-listing in combinatie met Ad block in Chrome/Firefox. Werkt als een trein man

Foamy @sfranken • 17 juli 2012 16:04

Daarom gebruik ik nou gray-listing in combinatie met Ad block in Chrome/Firefox. Werkt als een trein man

Wauw. Jij weet met een adblocker in je browser spam uit je mailbox te weren? Nice!

sfranken @Foamy • 17 juli 2012 16:39

Nee, maar als je geen ads ziet op sites kun je er ook niet op klikken om zo de kans op spam/malware en andere crap te verkleinen.

Bovendien werkt adblock in Thunderbird gewoon, theoretisch.

mad_max234 @sfranken • 17 juli 2012 17:46

Door op ads te klikken krijg je geen spam, door je email ergens achter te laten bijvoorbeeld bij het aanmelden op de forum of site dan pas heb je kans dat je spam krijgt in je mail box.

Malware is heel iets anders dan spam, gaat nu echt over spam en daar doet adblockers en soortgelijk software helemaal niks tegen, gewoon nergens aanmelden met je email en gewoon speciaal email aan maken voor het aanmelden op sites, nooit je eigen mail gebruiken!

Proxx @mad_max234 • 17 juli 2012 18:44

niet helemaal waar sommige foto's in spam berichten laten de spammer weten dat het address bestaat en gebruikt wordt

http://spamurl/email@adress/img.jpg bijvoorbeeld. zodra jij de afbeelding ophaalt of er op klikt kom je dus gegarandeerd terug op een andere lijst.

BenGenaaid @Proxx • 17 juli 2012 21:35

niet helemaal waar sommige foto's in spam berichten laten de spammer weten dat het address bestaat en gebruikt wordt

http://spamurl/email@adress/img.jpg bijvoorbeeld. zodra jij de afbeelding ophaalt of er op klikt kom je dus gegarandeerd terug op een andere lijst.

Thunderbird heeft de optie de afbeeldingen standaard niet te laten zien, zodat er behalve de text van de mail, niets wordt gedownload van een externe bron, dan kom je dus ook niet op een andere lijst terecht, bovendien, wie opent er nou een spam mailtje, kan net zo goed een virus bevatten.

mad_max234 @batjes • 17 juli 2012 17:50

Is dit nu opging tot flame naar firefox? Want die heeft gewoon standaard al adblocker ingebouwd, en ook anti phishing en malware beveiliging, tot zekere hoogte natuurlijk.

zeduude @batjes • 18 juli 2012 00:15

wow en IE heeft ook z'n hele eigen standaard... oh wacht tis de enige die die standaard heeft..... en de w3c std heeft t fout....

ontopic : goeie zaak, maar waarom lekken ze de ip adressen van die master servers niet uit zodat diegenen die minder gebonden aan regels die servers platt kunnen leggen etc etc..

sinds ik spamasassin getuned heb met wat rbl lijsten, komt r geen druppel spam meer door

Technomania

17 juli 2012 16:12

Och... Servertje minder... Ze zijn allang een stapje voor. Is het niet nog meer backupservers in vreemde landen dan hebben ze inmiddels wel nieuwere technieken om te Spammen..

Verloren wedstrijd denk ik gewoon...

Nixo @Technomania • 17 juli 2012 16:19

Zeker geen verloren wedstrijd. Eerder een kat en muis spel. Als iedereen maar genoeg medewerking verleend dan kan het hard gaan en word het ook een stuk minder rendabel voor spammers om elke keer een nieuwe server op te moeten zetten.

Mellow Jack @Nixo • 17 juli 2012 16:28

Een server opzetten is niets meer dan een script draaien.... Het enige wat je moet kunnen is het betalen van de rekening en dat geld terug verdienen

Proxx @Mellow Jack • 17 juli 2012 18:48

gebeurt bij je groentjes zo ja. de grote jongens draaien die scriptjes niet op eigen servers.
die gebruiken wel gehackte servers

trogdor @Proxx • 18 juli 2012 13:57

Nee dat denk ik niet.
Het is veel meer werk om een server te hacken en in de lucht te houden dan om er een te huren en daar een image op te pletteren.

J.J.J. Bokma @Nixo • 18 juli 2012 06:30

Ja, wel een verloren wedstrijd. Er zit geld in voor diverse bedrijven die als ze ethisch te werk zouden gaan daar nooit aan zouden willen verdienen. Diverse grote ISPs weten donders goed wat er op hun netwerk gebeurd; ik bedoel, als ik binnen een paar minuten kan uitvinden dat er diverse IP adressen al maanden lang spam uitspugen en voor andere doeleinden gebruikt worden, wie ligt er dan te slapen?

Daarnaast weet zo'n ISP dat de betalende spammende klant zo vertrokken is, en dan bij de concurent wel welkom is. Dus waarom niet zo lang mogelijk uitmelken. Je wilt niet weten hoe vaak mij de afgelopen maanden list washing aangeboden is. Dus de provider neemt contact op met de spammer, en verzoekt hem/haar om mijn email adres van de lijst(en) te halen. Lekkere koffie natuurlijk, want ik wil zeker dat alle spammers precies weten wie ik ben. Het zal niet de 1e keer zijn dat een spammer zich uitleeft ten nadele van mij.

Vreemde landen? Veel zooi zit gewoon onder de paraplu van een van de vele, niet zo kleine vaak, ISPs in de USA. Economische crisis, weet je wel? Elke cent telt. Maakt niet uit dat het spammers en criminelen zijn.

[Reactie gewijzigd door J.J.J. Bokma op 31 juli 2024 10:04]

raro007 @Technomania • 17 juli 2012 16:20

dat is gewoon dweilen met kraan open

zolang die vage landen niet gaan mee werken zal het nooit opgelost woorden en alleen maar erger woorden.
is anti spam filter dat in google mail zit niet censuur trouwens?
want google zit te bepalen wat jij ziet, ja je kan het de-actieveren maar dan stroomt je mail box vol

J.J.J. Bokma @raro007 • 17 juli 2012 20:54

Vage landen zoals USA, UK, Nederland, enz. bedoel je? Het zijn niet altijd "vage" landen. Heel veel zooi wordt gewoon gehost bij "normale" landen. Maar ja, een betalende klant = inkomsten, he? Dus die gooi je niet ff offline. En inderdaad, zolang hosting providers niet aansprakelijk worden gesteld voor het willens en wetens on-line houden van zooi, dan is dit inderdaad dweilen met de kraan open, gesponsord door de inwoners van, in dit geval, Nederland.

En nee, Gmail is geen censuur: *jij* kiest om daar te gaan zitten. Als je per se alle spamzooi wilt hebben neem je simpelweg een VPS. En om heel zeker te zijn dat je niks mist raad ik aan om een catch-all email adres aan te maken, en zo veel mogelijk email adressen met jouw domein rond te strooien.

[Reactie gewijzigd door J.J.J. Bokma op 31 juli 2024 10:04]

raro007 17 juli 2012 16:03

"In Panama en Rusland zijn nog wel Grum-servers operationeel."
en die zullen ze ook nooit uit krijgen, want het geld ook net als die sites die torrents hosten.
dat is altijd zo met hosters die buiten europa zitten, dus spam zal nooit opgelost woorden zolang die landen nooit gaan meewerken.
en als ze die gaan blokkeren mogen ze het niet in principe want dan zitten ze te censureren als China ( teminste als je het vergelijkt met torrents sites )

mae-t.net @raro007 • 17 juli 2012 17:43

Nou, in tegenstelling tot wat bij torrentsites het geval is, maken spammers en botnetexploitanten zich bij beheerders en bij softwarebedrijven ook wat minder geliefd. Dat zijn opzich partijen die je zelfs in Panama en Rusland liever niet tegen je hebt.

Verwijderd 17 juli 2012 15:55

Waarom niet samenwerken met Panama en Rusland en in een keer het hele net naar beneden halen? Nu kunnen ze nog steeds doorgaan, dus het vertraagt de "handel" van de eigenaren alleen een beetje.

back2basic 17 juli 2012 15:59

Ik denk niet dat het veel effect zal hebben omdat het maar de secundaire servers waren ...

Waarschijnlijk zijn ze nu druk bezig met nieuwe C&C servers op 't zetten ..

BenGenaaid @back2basic • 17 juli 2012 21:38

Hmm ik heb net nog online C&C zero hour gespeeld, geen last van gehad

J.J.J. Bokma 17 juli 2012 20:52

"Nederlandse hoster Ecatel. Dit bedrijf is al vaker in verband gebracht met laks optreden tegen kwaadwillende klanten. "

Tja, Ecatel is hier niet uniek in. Klantjes betalen, en dus gaan die voor. Een goede oplossing voor dit probleem is alle kosten van dit off line halen op de tafel van Ecatel gooien, plus een boete van 5000 euro per besmette machine.

Ik meld regelmatig machines die besmet zijn bij diverse ISPs, maar het merendeel doet er niks mee. Allemaal bang om die paar euro aan inkomsten te verliezen...

biglia 17 juli 2012 16:24

Heeft Ecatel ook een website? Op Ecatel.nl staat "under construction".

batjes @biglia • 17 juli 2012 17:22

ecatel.com en het is een erg dubieuze website/hoster

gezien ze al het foute op het internet verdedigen (iig hun klanten) en nu zijn die servers zo down? frappant, heel frappant

B-BRAIN @batjes • 17 juli 2012 18:38

wordt nu doorgestuurt naar een spaanse of een portugese site als ik naar ecatel.com ga

Verwijderd 17 juli 2012 19:50

Met andere woorden, er wordt nu actief naar die servers geluisterd, om te kunnen zien waar die andere servers staan, op het moment dat de update komt.. Naief, maar toch, goede poging.

Verwijderd 18 juli 2012 09:34

Lol... kwam deze page van Ecatel tegen... ze gaan toch een beetje tegen hun eigen policies in geloof ik..

http://noc.ecatel.net/ecatel-abuse.html

Op dit item kan niet meer gereageerd worden.

Lees meer

IT-banen

Reacties (43)

Sorteer op:

Weergave: