Domeinnamen Dorifel-botnet offline gehaald

Op verzoek van de Nederlandse overheid zijn domeinnamen offline gehaald die zijn gebruikt voor de verspreiding van de Dorifel-malware. Het virus trof vorige week een groot aantal Nederlandse overheidsinstellingen, waaronder een ministerie.

MalwareZowel binnen als buiten Nederland zijn domeinnamen die zijn gerelateerd aan de Dorifel-malware, offline gehaald. Dat schrijft het Nationaal Cyber Security Centrum, de ict-beveiligingsorganisatie van de Nederlandse overheid.

Onvermeld blijft welke domeinnamen offline zouden zijn gehaald, maar een van de domeinnamen die aan Dorifel gerelateerd is, bank-auth.org, lijkt inderdaad niet meer te werken.

Internetproviders krijgen via diensten als Shadowserver en Spamhaus automatisch nieuwe informatie over eventuele dreigingen. Daarnaast is er een strafrechtelijk onderzoek ingesteld naar het virus, dat vorige week een groot aantal overheidsinstellingen wist te besmetten. Het virus versleutelt onder meer Excel- en Word-documenten, waardoor ze niet meer toegankelijk zijn.

Onder meer het Ministerie van Onderwijs, Cultuur en Wetenschap, evenals twee provincies, in ieder geval twee universiteiten, het RIVM en een groot aantal gemeenten werden getroffen door de malware. Daarnaast zou de malware gegevens van honderden Nederlandse bankklanten hebben buitgemaakt.

De malware lijkt specifiek gericht op Nederlanders, ontdekte beveiligingsonderzoeker Rickey Gevers, omdat veel boodschappen in het Nederlands zouden zijn geschreven. Bovendien zouden er aanwijzingen zijn dat de beheerders van het botnet achter de malware gebruikmaken van Fragus, een framework voor het aansturen van bots. Deze software kan op de zwarte markt worden aangeschaft. Eerder al bleek dat het virus is geschreven in Delphi en is de malware goed leesbaar. Dat is ongebruikelijk; meestal doen auteurs van malware hun best om hun geheimen te verbergen.

Door Joost Schellevis

Redacteur

Feedback • 13-08-2012 08:37 40

13-08-2012 • 08:37

40

Lees meer

Dorifel-virus verspreidt zich via Facebook Chat
Dorifel-virus verspreidt zich via Facebook Chat Nieuws van 30 maart 2013
OM begint onderzoek naar ddos-aanval op Spamhaus
OM begint onderzoek naar ddos-aanval op Spamhaus Nieuws van 27 maart 2013
Nederlandse hostingprovider voerde ddos-aanval uit op Spamhaus - update
Nederlandse hostingprovider voerde ddos-aanval uit op Spamhaus - update Nieuws van 27 maart 2013
Spamhaus tijdelijk onbereikbaar door ddos-aanval
Spamhaus tijdelijk onbereikbaar door ddos-aanval Nieuws van 19 maart 2013
Nederlandse isp's en SIDN gaan samen botnets in kaart brengen
Nederlandse isp's en SIDN gaan samen botnets in kaart brengen Nieuws van 24 oktober 2012
Nieuw Dorifel-virus richt nog geen schade aan in Nederland
Nieuw Dorifel-virus richt nog geen schade aan in Nederland Nieuws van 2 oktober 2012
Nieuwe versie Dorifel-virus gesignaleerd
Nieuwe versie Dorifel-virus gesignaleerd Nieuws van 27 september 2012
Minister: aanpak Dorifel-uitbraak richtte zich op 60 domeinnamen
Minister: aanpak Dorifel-uitbraak richtte zich op 60 domeinnamen Nieuws van 23 september 2012
Virus trof ook ministerie van Economische Zaken
Virus trof ook ministerie van Economische Zaken Nieuws van 14 augustus 2012
Bankgegevens aangetroffen op nieuwe Dorifel-servers
Bankgegevens aangetroffen op nieuwe Dorifel-servers Nieuws van 14 augustus 2012
ING: impact Dorifel-virus bleef beperkt tot tientallen klanten - update
ING: impact Dorifel-virus bleef beperkt tot tientallen klanten - update Nieuws van 13 augustus 2012
Nederlandse bankgegevens gevonden op 'masterserver' Dorifel-virus
Nederlandse bankgegevens gevonden op 'masterserver' Dorifel-virus Nieuws van 12 augustus 2012
Overheid: virusuitbraak onder controle
Overheid: virusuitbraak onder controle Nieuws van 10 augustus 2012
Nieuw virus infecteert ook ministerie
Nieuw virus infecteert ook ministerie Nieuws van 9 augustus 2012
Provincies en universiteiten besmet met nieuw virus - update 2
Provincies en universiteiten besmet met nieuw virus - update 2 Nieuws van 9 augustus 2012
Nederlandse organisaties getroffen door onbekend virus - update 2
Nederlandse organisaties getroffen door onbekend virus - update 2 Nieuws van 9 augustus 2012
Meer producten en artikelen
Politiek en recht Privacy Beveiliging Malware Nederland Overheid

Reacties (40)

-Moderatie-faq
40
39
27
1
0
0
Wijzig sortering

Sorteer op:

Weergave:
Auredium 13 augustus 2012 09:00
Het klinkt als een job uitgevoerd door Nederlanders of Nederlandstalige mensen. Daar de code goed leesbaar is en alles relatief snel kon worden achterhaald en ontmanteld kunnen we de vraag stellen hoe groot de expertise van onze vrienden is geweest.

Natuurlijk is het onderzoek nog gaande maar ik ben wel benieuwd wie er precies achter zit.
Verwijderd @Auredium13 augustus 2012 09:04
Dus niet uitgevoerd door 'native' NL'ers of BE'ers.
Several warning messages shows the criminals are no native speaking Dutchies:

Om technische redenen, het internet bankieren dienst is tijdelijk niet beschikbaar, gelieve in te loggen in 24 uur
Source: http://rickey-g.blogspot....s-of-dorifel-servers.html

Ps: Typisch Google Translate format ;)

[Reactie gewijzigd door Verwijderd op 23 juli 2024 01:43]

kritischelezer 13 augustus 2012 08:54
Een oplossing voor "veilig.bankieren":
Een apart apparaatje, waarop alleen.gebankiert kan worden en verder geen software kan worden gedraaid/gedownload. Dit apparaat persoonlijk afhalen bij de bank.

Het grootste beveiligingslek is de mens, die gewoon geen mogelijkheid meer geven om iets te doen, behalve betalen.

Onhandig? Mensen moeten er maar aan wennen dat veiligheid iets kost. Inloggen met alleen een paswoord met naam van jongste kind is pasee...
justme256 @kritischelezer13 augustus 2012 09:01
Leuk idee, maar het blijft zo dat mensen uit zullen zoeken hoe dat kastje werkt. Zie skimmers met PIN apparaten. Daarnaast blijft het nog steeds Internet Bankieren, waardoor een man in the middle aanval nog steeds mogelijk blijft. Sowieso zullen de meeste gewone mensen het niet goed accepteren. "Hoezo een apart kastje, ik heb toch al een laptop, PC, tablet, etc."
R4gnax
@justme25613 augustus 2012 19:57
Leuk idee, maar het blijft zo dat mensen uit zullen zoeken hoe dat kastje werkt. Zie skimmers met PIN apparaten. Daarnaast blijft het nog steeds Internet Bankieren, waardoor een man in the middle aanval nog steeds mogelijk blijft. Sowieso zullen de meeste gewone mensen het niet goed accepteren. "Hoezo een apart kastje, ik heb toch al een laptop, PC, tablet, etc."
Het apparaatje in kwestie gewoon op geen enkele wijze verbinden aan of afhankelijk maken van de externe wereld (internet, telefoon of post) zodat het niet gecompromiteerd kan worden. Je laat het enkel eenmalig te gebruiken codes retourneren op basis van de in te voeren bankpas en pincode. Voor transacties voeg je hier nog het over te maken bedrag en de rekening van begunstigde aan toe.

Je kunt zo'n apparaatje via de behuizing al behoorlijk tamper-proof maken en zelfs als het exacte algoritme echt achterhaald zou worden; een gedeelte van de vereiste invoer ervoor (nl. de pincode) zal nooit en te nimmer op een PC ingevoerd worden en dus nooit uitgelezen kunnen worden.

Het enige probleem treedt op wanneer men het algoritme daadwerkelijk breekt en omkeerbaar maakt (en zo pincodes kan achterhalen).

[Reactie gewijzigd door R4gnax op 23 juli 2024 01:43]

Blokker_1999
@kritischelezer13 augustus 2012 10:19
online bankieren is vandaag reeds veilig en eenvoudig. Waarom zou een aparte PC veiliger zijn? Gaan daar geen fouten in de software zitten? En al eens nagedacht wat een problemen dat geeft als je bij meerdere banken bent? Altijd maar wisselen van PC?

En bij welke bank log jij nog in met enkel en alleen een wachtwoord?

En vergeet niet, je grootste beveiligingslek is net diegene die ook alle software schrijft
Ceejay @kritischelezer13 augustus 2012 11:36
ABN AMRO gebruikt voor internet bankieren al een apart "kastje".
Verwijderd @kritischelezer13 augustus 2012 08:55
Of een Live CD starten om te internetbankieren
FreshMaker @Verwijderd13 augustus 2012 09:06
Ja, en een livecd, waar komt die vandaan ?

updates ?
Mijn schoonmoeder kan nog niet eens een dvd afspelen op haar pc ( al zou de speler erin zitten )

elke week een andere livecd branden, bezorgen ... kosten ?
Verwijderd @FreshMaker13 augustus 2012 09:12
Als je een echte tweaker bent, dan maak je zo voor je schoonmoeder een Live CD die automatisch haar Inet opstart en haar presenteert met een inlog pagina voor haar Internet Banking.

Eenmalige uitleg en klaar.

- Kosten
Cd's tegenwoordig kosten haast niets meer. En bezorgen ? Post / Snail Mail ?
TMDevil @Verwijderd13 augustus 2012 09:46
Handig zo'n CD die niet aan te passen is. Maar goed, dat hoeft natuurlijk ook niet, je hoeft om veilig te internet bankieren geen security updates te installeren ;)

Mensen moeten eens leren niet overval op te willen klikken, en leren hun nieuwsgierigheid te bedwingen, dat zou een hoop schelen.
Verwijderd @HoeZoWie13 augustus 2012 09:32
Hoezo ?

Ik heb al vaker een CD gemaakt waar de mensen zelf hun nummer en password moesten invoeren gemaakt. Alleen start hij automatisch op en start een internet browser met ofwel de ING, Rabo of ... Bank inlog pagina als Home page.

Hij start dus een Inet browser op met als homepage de Bank Pagina, wat is daar fout aan (geen cookies of herleidbare informatie terug te vinden op de cd)

[Reactie gewijzigd door Verwijderd op 23 juli 2024 01:43]

WokeBroke 13 augustus 2012 09:06
ik dacht dat Spamhaus alleen voor e-mail providers was.
_JGC_ @WokeBroke13 augustus 2012 09:24
Behalve een blacklist voor je mailserver houdt Spamhaus ook nog een lijst bij met IP-ranges die in handen zijn van criminele organisaties.
Verwijderd @_JGC_13 augustus 2012 10:03
Maar zouden dit maar alleen maar 452 Ranges zijn dit lijkt me wel een beetje weinig?? Hoewel die liijst is maar ong 2 dagen geldig.
; Last-Modified: Sun, 12 Aug 2012 16:51:19 GMT
; Expires: Tue, 14 Aug 2012 05:45:51 GMT
http://www.spamhaus.org/drop/drop.txt

[Reactie gewijzigd door Verwijderd op 23 juli 2024 01:43]

_JGC_ @Verwijderd13 augustus 2012 10:15
Die lijst bevat alleen complete netblocks, geen individuele IP-adressen. Als je dat gaat doen wordt die lijst gewoon waardeloos vanwege de omvang, weinig firewalls die in staat zijn om zonder grote vertraging zulke grote hoeveelheden aan data te doorlopen voor elke nieuwe verbinding die binnenkomt of uitgaat.
Verder zijn dit netblocks waar ze bij Spamhaus zeker van zijn. Je gaat niet een halve internetprovider afsluiten omdat er een paar gebruikers zijn die onderdeel zijn van een botnet, daar is die lijst niet voor bedoeld.
noopie @WokeBroke13 augustus 2012 09:26
Waar denk je dat de infectie is begonnen? Juist ja..
Verwijderd 13 augustus 2012 08:53
Is er al gebeld met de hoster van de server? Of is dat te voor de hand liggend?
AW_Bos @Verwijderd13 augustus 2012 09:40
Daar ga ik wel vanuit, maar die hebben ook regelgevingen dat ze niet zomaar meteen een server down kunnen halen zonder juridisch bevel. Maar Oostenrijk zal snel meewerken, landen als Rusland en de Ukraine is wat lastiger vanwege hun wetgeving daar.
LordMike @AW_Bos13 augustus 2012 13:39
Vreemd.. Interpol kan daar ook gewoon servers laten neerhalen..
Kevinp 13 augustus 2012 08:49
Op zich allemaal logisch. Maar er wordt geen enkel bewijs geleverd dat deze ook gerelateerd zijn. Sterker nog ze leveren niet eens welke domeinen dat zijn. En hoe erg zo'n virus ook is. Vind ik dat de overheid zich niet als criminelen hoort te gedragen door zonder bewijs en openbaarmaking dergelijke sites uit de lucht moet halen. Zeker niet in het buitenland waar in mijn ogen ze niks over te zeggen hebben.

Als je dit wil oplossen is dat door met de ISP een redirect pagina te maken waarna mensen alsnog door kunnen gaan. Zolang ze dat niet aan geven blijft het geblokeert

Daarnaast heeft het ook totaal geen nut zolang je de mensen niet aanpakt. Dit is dan slechts een (erg) tijdelijke oplossing.
Pixeltje @Kevinp13 augustus 2012 08:56
Je mag toch aannemen dat de Nederlandse overheid zich zulke slordigheden niet meer veroorlooft. Ik ga er in ieder geval van uit dat ze ten minste de schijn van betrokkenheid kunnen aantonen. De rest is dan voor het strafrechtelijk onderzoek.
Jeoh @Pixeltje13 augustus 2012 09:49
Je mag toch aannemen dat de Nederlandse overheid zich zulke slordigheden niet meer veroorlooft.
Assumption is the mother of all fuck-ups.

Het gaat waarschijnlijk om de domeinnamen die in dit artikel genoemd worden: http://rickey-g.blogspot....fel-servers.html?spref=tw
Kevinp @Pixeltje13 augustus 2012 10:04
En waarom kan ik de overheid zomaar vertrouwen?

Omdat ze (net als de rest van Europa overigens) zomaar in stemmen met het weggeven van persoonlijke data aan Amerika?

Omdat ze voor de acta stemde, maar pas toen ze door hadden dat het stemmen ging kosten ze het terug draaide?

Omdat alle ICT projecten altijd feilloos worden uitgevoerd dus je een idee hebt dat ze weten waar ze over praten?

Ze willen veel wat minstens 75% van de burgers niet wil. Dus blind vertrouwen heb ik zeker niet. En niemand die verstandig is heeft dat
blouweKip @Kevinp13 augustus 2012 15:50
Ze willen veel wat minstens 75% van de burgers niet wil. Dus blind vertrouwen heb ik zeker niet. En niemand die verstandig is heeft dat
En toch stemt een meederheid van de bevolking op die partijen....dus de oorzaak zul je toch echt bij de kiezers zelf moeten zoeken (ik vermoed dat je die 75% ook uit de mouw schud)
Blokker_1999
@Kevinp13 augustus 2012 10:14
Als criminelen gedragen? What the fuck man? Dus jij hebt liever dat het virus en botnet gewoon verder kan blijven gaan? Ga je na een aanslag bijv. ook zeggen dat de politie geen recht heeft om de omgeving af te zetten, maar dat ze enkel en alleen de daders mogen aanspreken en oppakken?

En wat wil je met een redirct beginnen? Geen enkel slachtoffer krijgt dat te zien. Het is in dit geval niet de nameserver die gehacked is, het gaat hier om domeinnamen die door de malware gebruikt werd. Iets wat op zich al opmerkelijk is.

En dacht je nu ook echt dat ze niet druk bezig zijn met de mensen op te sporen die verantwoordelijk zijn? Denk je nu echt dat ze op het NCSC nu een feestje aan het vieren zijn omdat er wat domeinnamen uit de lucht zijn gehaald? Dreiging over?

Wake up ...
Kevinp @Blokker_199913 augustus 2012 10:25
Wake up ...
Ik zou hetzelfde tegen jouw willen zeggen. Alleen dan precies andersom. Als "we"niet wakker worden lopen we over 10 jaar allemaal met een GPS zender om. Of mogelijk worden onze gedachten gemonitorred en zodra je ook maar iets denkt dat in een land niet mag wordt je lekker uitgeleverd.

Dit is natuurlijk wel het meest erge scenario wat je kan bedenken, maar wel iets minder erg een reeel scenario.

Iedereen altijd en overal bekend wat hij/zij doet.

Pas was al in het nieuws dat iedereen zonder Facebook door sommige bedrijven al als mogelijke terrorist gezien wordt(of minstens verdacht is). Je kan dus stellen dat ik gewoon meer op let en ja, dat kan mogelijk slachtoffers opleveren, maar uiteindelijk moet je je als overheid juist meer aan de wet houden als iemand anders.

Hoe kan je als overheid verwachten van je burgers dat deze zich aan de wet houden als je dat zelf niet doet.
Blokker_1999
@Kevinp13 augustus 2012 10:35
En welke wet is hier dan overtreden? Er word hier niet een misdaad gestopt door de overtreders hun middelen in beslag te nemen. Lijkt me iets dat al sinds jaar en dag gebeurd...

De vraag komt van de overheid omdat de domeinen waarschijnlijk geen .nl zijn en het neerhalen is een formaliteit omdat ze gebruikt werden voor iets dat geen enkele TOS toestaat.

Er is voor miljoenen euros schade berokkend, tienduizenden verloren manuren zowel bij overheid als in de private sector .. en men zou geen actie mogen ondernemen? Waarom? Omdat er eerlijk geld is betaald voor die domeinnamen? Of zullen we misschien het voorarrest ook afschaffen. Criminelen zijn toch onschuldig tot het tegendeel bewezen is, dus tot die uitspraak in beroep er is moeten ze vrij kunnen rondlopen ...

[Reactie gewijzigd door Blokker_1999 op 23 juli 2024 01:43]

Kevinp @Blokker_199913 augustus 2012 12:37
Puur het feit dat je dergelijke sites offline haalt zonder dat duidelijk openbaar te maken is in mijn ogen verkeerd.

Want "hangende aan het onderzoek" is natuurlijk nutteloos degene die deze gebruiken zijn al gevlogen of opgepakt. Of weten wel hoe het zit.

daarnaast lijkt de schade mee te vallen (echter mag je daarmee een dergelijke actie niet goed praten)

nieuws: ING: impact Dorifel-virus bleef beperkt tot tientallen klanten - update
the-dark-force @Kevinp13 augustus 2012 14:23
ik vind het verontrustender dat ze in de c&c servers ingebroken hebben...
ohwnee een domeinnaam offline....
boeit niet want afgezien van bot wil er niemand naar het domein toe en als je het hier niet had gelezen had je het waarschijnlijk niet eens gemerkt -_-

laten we de daders beschermen zo hoort het in dit land... toch...?
je bent er zo eentje die de ziekenbroeders niet blurred en de criminelen wel ?
misschien een schadevergoeding dan maar voor deze malware verspreiders ?

dit is absoluut niet lekker en vloeiend gegaan maar dit soort daders bescherm je niet.


wie wil er wedden voor een pakje sigaretten dat straks nadat alle commotie over is alle politici vinden dat er harder opgetreden moet worden tegen dit soort dingen, er nieuwe wetten moeten komen en er meer samenwerking met de usa enzo moet komen...
dasiro @the-dark-force13 augustus 2012 22:46
totdat ze een legitiem domein misbruiken om triggers door te geven. Zo werden er in het verleden al vaak updates en commands naar botnets gestuurd.

Zo kan jouw tekst "wedden voor een pakje sigaretten" een commando zijn om naar een ip 192.168.14.23 te connecteren om daar een version update binnen te halen.

*BAF* T.net plat omdat de site onderdeel uitmaakt van de commandostructuur van een Pakistaans botnet.
crizyz @dasiro14 augustus 2012 02:27
Als je met dat ip adres gaat verbinden om een versie update binnen te halen zit je probleem sowieso binnen je eigen netwerk en moet je je huisgenoot/familielid/collega/whatever toch eens even goed aan gaan kijken. :)

Meesten zullen het hier denk ik wel weten, maar 192.x ip adressen zijn 'lokale' ip adressen, en niet geldig op het 'grote' internet. Zelfde geldt trouwens voor 10.x en 172.x (grofweg).
Verwijderd @Kevinp13 augustus 2012 15:08
Het is nooit goed. Als de overheid niet ingrijpt wordt ze dat verweten, doen ze dat wel, dan is het ineens een schending van de rechten.
Verwijderd 13 augustus 2012 08:51
Als ik naar deze drop list van Spamhaus kijk (http://www.spamhaus.org/drop/drop.txt) dan is die lijst niet echt lang, Maar 452 Rules.

Edit : // Spelling

[Reactie gewijzigd door Verwijderd op 23 juli 2024 01:43]

beascob 13 augustus 2012 09:45
In Webwereld word Kaspersky aangehaald, alsof het vreemd is dat dit AV er toe doet.
Maar bij Kaspersky is men groot in ADS (Alternate Data Streams) als labeling van files zodat deze zeer snel te scannen zijn.
Want Dorifel heeft via metadata en vooral Alternate Data Streams zich slecht traceerbaar gemaakt.
jeff2 13 augustus 2012 14:36
In een artikel van de telegraaf worden ook ip-adressen genoemd:
http://www.telegraaf.nl/d...ook_bankrekeningen__.html
Marc050 13 augustus 2012 08:50
De malware lijkt specifiek gericht op Nederlanders, ontdekte beveiligingsonderzoeker Rickey Gevers, omdat veel boodschappen in het Nederlands ...

en Belgie!!!!
Blokker_1999
@Marc05013 augustus 2012 10:15
Wie is er in België getroffen? Tot op heden zijn er enkel maar aanwijzingen dat de malware zich bij nederelandse (en enkele deense geloof ik) overheidsinstanties en bedrijven heeft gemanifesteerd.
LordMike @Marc05013 augustus 2012 13:38
België is tweetalig.. correct zou het Vlaanderen moeten zijn, maar ik heb nergens gelezen dat er Vlamingen of Vlaamse Overheidsdiensten aangevallen/besmet zijn met dit virus.

Verder vind ik dit een prachtig staaltje van hoe het wel hoort, heel kort op de bal spelen en onmiddellijk de schade beperken door de domeinen offline te halen!

Ik ben stom verbaasd!

Op dit item kan niet meer gereageerd worden.

Apple iPhone 17 LG OLED evo G5 Google Pixel 10 Samsung Galaxy S25 Star Wars: Outlaws Nintendo Switch 2 Apple AirPods Pro (2e generatie) Sony PlayStation 5 Pro

Tweakers is onderdeel van DPG Media B.V.
Alle rechten voorbehouden - Auteursrecht © 1998 - 2025 Hosting door TrueFullstaq