Microsoft claimt overwinning op beheerders ZeroAccess-botnet

De criminelen achter Zero Access hebben het beheer over dat botnet opgegeven. Ze gaven een bericht uit met als inhoud "white flag". Eerder deze maand spande Microsoft een rechtszaak aan tegen de beheerders, maar naar aanleiding van deze ontwikkeling heeft het die zaak stopgezet.

Het lijkt erop dat het ZeroAccess-botnet niet langer werkzaam is. Twee weken geleden begon Microsoft een civiele rechtszaak tegen de beheerders van het botnet dat ook wel bekend staat onder de naam Sirefef. Nu de beheerders hun nederlaag erkennen heeft Microsoft besloten de zaak niet door te zetten en de autoriteiten hun onderzoek te laten voortzetten.

Microsoft en partijen waarmee het heeft samengewerkt hadden niet de verwachting het ZeroAccess-botnet helemaal buiten werking te zetten, omdat de dreiging zeer complex was. ZeroAcces is namelijk gedecentraliseerd ingericht en maakt gebruik van peer-to-peerverbindingen. Bij minder complexe botnets is er vaak één command-&-controlserver die het botnet aanstuurt.

In eerste instantie richtte Microsoft zich op het schoon en onschadelijk maken van geïnfecteerde computers. In een actie eerder deze maand identificeerde Microsoft en andere partijen 18 ip-adressen en 49 domeinnamen die het botnet zou gebruiken. Nog geen 24 uur na die actie kwamen er al nieuwe instructies bij de zombie-pc's binnen om door te gaan met de fraude.

Omdat het botnet echter in de gaten werd gehouden lukte het een nieuw ip-adres te vinden en kon het Europese Cybercrime Centre actie ondernemen in het betreffende land, in dit geval Duitsland, waar de ip-adressen snel herleid werden. Na die actie gaven de botnetbeheerders nog een bericht uit aan de zombies, namelijk "white flag", waarme ze zich overgaven. Het botnet is nu dan ook niet langer actief.

Het onderzoek werd uitgevoerd ook in samenwerking met het Nederlandse Team High Tech Crime van de Landelijke Politie-eenheid. Drie van de domeinen die eerder werden geïdentificeerd bleken bij Nederlandse hosters te staan.

Door Jochem de Goede

Feedback • 20-12-2013 16:08 34

20-12-2013 • 16:08

34

Lees meer

Europol en Microsoft verstoren Dorkbot-botnet
Europol en Microsoft verstoren Dorkbot-botnet Nieuws van 4 december 2015
Microsoft: No-IP was niet betrokken bij verspreiding malware
Microsoft: No-IP was niet betrokken bij verspreiding malware Nieuws van 10 juli 2014
Microsoft haalt No-IP-domeinen offline vanwege malwaredistributie
Microsoft haalt No-IP-domeinen offline vanwege malwaredistributie Nieuws van 1 juli 2014
Microsoft brengt klikfraude-botnet flinke slag toe
Microsoft brengt klikfraude-botnet flinke slag toe Nieuws van 6 december 2013
Half miljoen pc's uit ZeroAccess-botnet bevrijd
Half miljoen pc's uit ZeroAccess-botnet bevrijd Nieuws van 1 oktober 2013
Meer producten en artikelen
Internet Netwerk en systeembeheer Microsoft

Reacties (34)

-Moderatie-faq
34
34
25
0
0
1
Wijzig sortering
wica 20 december 2013 16:14
Nu zich terug trekken, om straks sterker dan ooit terug te komen.

Onderzoek en vervolging hoort bij de overheid te liggen, niet bij een bedrijf!
wildhagen
@wica20 december 2013 16:20
Het Europese Cybercrime Centre is ook een (EU-)overheidsorganisatie, geen bedrijf. Is een onderdeel van Europol in Den Haag.

Daarnaast is onderzoek zeker niet alleen een taak van de overheid, er zijn zát commerciele partijen die zich daar ook mee bezighouden. Denk alleen al aan Fox-IT of Kaspersky dat regelmatig in het nieuws is met dit soort zaken bijvoorbeeld
wica @wildhagen20 december 2013 20:42
Bedrijven mogen het best wel passief onderzoeken doen en deze gegevens overdragen aan de overheid. De overheid moet ook zijn eigen onderzoek doen, met de bevoegdheden die zij zich op dat moment gegunt hebben.

Maar een bedrijf mag niet actief onderzoeken, dus niet in het botnetwerk inbreken. Omdat je hiermee in de meeste gevallen inbreekt op een computer die eigendom is van een persoon, die weer bepaalde rechten heeft.

Wie is er verantwoordelijk voor de eventuele schade en misschien wel juistheid van de data op die computer, vanaf het moment dat een bedrijf zich met het botnetwerk gaat bemoeien?

Dat bots en andere kwaadaardige entiteiten op internet bestreden moeten worden, is bijna iedereen het over eens. Misschien toch maar een internet vergunning invoeren, zodat mensen een beetje opgevoed worden en de fabrikant van de software verantwoordelijk stellen voor bugs en leks, zodat deze te minste binnen een paalde periode opgelost worden.

Overigens waarom claimt microsoft de overwinning? Hebben ze wat aan hun software aangepast, waardoor dit netwerk bestreden is? Nee, omdat iemand zich zegt over te geven.
THA_ErAsEr @wica21 december 2013 18:05
In het artikel staat nergens geschreven dat Microsoft heeft ingebroken op systemen. Ze hebben het netwerk in de gaten gehouden. Microsoft MOET hier wel zwaar onderzoek naar doen aangezien het botnet zich op WIndows systemen had gericht. Zeer slechte reclame dus.

Ze hebben een civiele rechtszaak gestart, dat was hun enige harde actie.
huntedjohan @wica20 december 2013 20:49
Overigens waarom claimt microsoft de overwinning? Hebben ze wat aan hun software aangepast, waardoor dit netwerk bestreden is? Nee, omdat iemand zich zegt over te geven
volgens mij was MS toch wel behoorlijk actief met het bestrijden van dit bot.
In eerste instantie richtte Microsoft zich op het schoon en onschadelijk maken van geïnfecteerde computers. In een actie eerder deze maand identificeerde Microsoft en andere partijen 18 ip-adressen en 49 domeinnamen die het botnet zou gebruiken. Nog geen 24 uur na die actie kwamen er al nieuwe instructies bij de zombie-pc's binnen om door te gaan met de fraude.
daarnaast kan ik in het verhaal niet terug halen dat MS als enige met de overwinning aan de haal gaat.
thegve @wica27 december 2013 22:46
Ik kan mij zo voorstellen dat er Microsoft mensen gewoon gezellig bij de FBI of bij Europese opsporingsdiensten op kantoor zitten, of andersom, voor de expertise uitwisseling, en omdat Microsoft als bedrijf (als het goed is) bepaalde dingen niet mag die opsporingsdiensten wel mogen.
Dit is een redelijk minimale investering ten opzichte van de image/reputatie schade. Dit zou zo maar eens zoiets kunnen zijn als "als je nu dit intikt dan heb je (FBI meneer) de controle over de PC".
metalmania_666 @wica20 december 2013 16:22
Iedereen kan een civiele zaak aanspannen.

Echter, en dat staat ook in het artikel doet ook justitie een onderzoek. Dat loopt nog gewoon
Teijgetje @wica20 december 2013 16:22
Tenzij het natuurlijk jouw spullen zijn die misbruikt worden en jij de slechte naam krijgt en het te groot blijkt voor één of aparte overheden. ;)

Dan ga je ook uitzoeken wie dat doet en hoe je het kan stoppen.
En dan laat je verder onderzoek over aan de overheden als je ze gevonden hebt, en die rechtszaak wordt natuurlijk ook gewoon door een rechtbank gedaan.
Vervolging was dus al sowieso door de overheid en niet door een Microsoft Tribunaal. ;)

Goed bezig MS!
Anoniem: 398494 @wica20 december 2013 17:09
En waarom zou een bedrijf niet mee mogen werken? Microsoft blijkt een aanwinst te zijn in dit geval, dan is dat alleen maar goed toch?
postbus51 @wica20 december 2013 20:15
@wica

Nu de beheerders hun nederlaag erkennen heeft Microsoft besloten de zaak niet door te zetten en de autoriteiten hun onderzoek te laten voortzetten.
headliner @wica20 december 2013 22:47
Het onderzoek werd uitgevoerd ook in samenwerking met het Nederlandse Team High Tech Crime van de Landelijke Politie-eenheid. Drie van de domeinen die eerder werden geïdentificeerd bleken bij Nederlandse hosters te staan.
Dat doen ze dus ook.
Maar ik heb ook zo'n idee dat er weinig bedrijven zijn die zoveel kennis hebben over dit soort zaken als Microsoft. Helaas moesten ze wel natuurlijk.
Anoniem: 175233 20 december 2013 16:16
Goh, deze keer geen extra commentaar van Fox-it over hoe slecht Microsoft dit aanpakt? 8-)

(edit: Voor de Tweakers met slecht geheugen: nieuws: Microsoft brengt klikfraude-botnet flinke slag toe )

[Reactie gewijzigd door Anoniem: 175233 op 22 juli 2024 20:00]

CMD-Snake @Anoniem: 17523320 december 2013 16:33
Ik snap dat commentaar niet helemaal. Jaren geleden was het een favoriet onderwerp hoe Microsoft laks omging met beveiliging. Nu nemen ze het zeer serieus en nemen ze ook actief stappen tegen zaken als botnets. Een hele goede zaak mijn inziens. Het internet wordt hierdoor veiliger voor iedereen.
SED @Anoniem: 17523320 december 2013 20:21
Je vraagt jezelf af of de beheerders door die actie inderdaad niet juist in de val gelokt zijn. Prima actie dus!
headliner @Anoniem: 17523320 december 2013 22:43
Dat was dus ook mijn eerste gedachte na het lezen van het bericht.
Het zou allemaal zo slecht zijn wat Microsoft doet omdat ze hun 'onderzoek' belemmeren, maar ondertussen doen ze niets tegen de bron en laten ze zich (flink?) betalen door hun klanten blijvend bloot te laten stellen aan dit soort praktijken.
Vayra @Anoniem: 17523320 december 2013 16:42
Haha, nee die fout maken ze denk ik maar 1 keer. Vond het wel komisch, destijds.
Loller1
20 december 2013 16:40
Wacht, gaat dit over hetzelfde botnet van 2 weken geleden waarvan onderzoekers zeiden dat Microsoft alleen maar schade heeft aangericht aan hun onderzoek? Zou wel heel ironisch zijn. Zoals toen al gezegd: ik vind dat Microsoft het veel beter aanpakt dan die onderzoekers met hun sink holes.
freaky @Loller120 december 2013 19:28
Wat is er ironisch aan? Is gewoon realiteit. De FBI en de politie zitten elkaar bijvoorbeeld ook weleens in de weg omdat ze van elkaar niet weten dat ze er onderzoek naar doen om maar wat te noemen.

Ook hier heb je verschillende methodes van aanpak die kunnen conflicteren.
Loller1
@freaky20 december 2013 20:08
Ook hier heb je verschillende methodes van aanpak die kunnen conflicteren.
Her ironische is dat die onderzoekers zeiden dat Microsoft het probleem alleen maar erger maakte door sink holes te vernielen. Daarbij hebben de onderzoekers alleen een passieve aanpak, onderzoeken is ook alles wat ze doen. Ze zeiden dat Microsoft hiermee niks zou bereiken, en plots is het hele botnet onderuit, dat is ironisch.
Anoniem: 175233 @Loller120 december 2013 18:04
Inderdaad, het gaat over dat bewuste botnet.
trogdor 20 december 2013 16:15
Begrijp ik het nou goed dat de beheerders zelf aan alle zombies een selfdestruct commando hebben gegeven ?
Zou dat misschien zijn om sporen te wissen ?
RGAT @trogdor20 december 2013 16:38
Ben verbaasd dat dergelijke bots uberhaupt een soort kill-switch hebben, dat de ontwikkelaar(s) voorbereid waren op het botnet stoppen.
Blokker_1999
@RGAT20 december 2013 19:11
kill switch niet noodzakelijk. Als je stopt met nieuwe commandos te sturen valt het botnet ook gewoon stil.
RGAT @Blokker_199920 december 2013 23:33
Na die actie gaven de botnetbeheerders nog een bericht uit aan de zombies, namelijk "white flag", waarme ze zich overgaven.

Lijkt me een soort kill switch command.
freaky @RGAT20 december 2013 19:26
Waarom ben je daar verbaasd over? Als er dreiging is dat je identiteit bekend wordt wil je best wel een commando kunnen sturen dat het/meeste bewijs vernietigd.
RGAT @freaky20 december 2013 23:34
Naja aangezien ZeroAccess peer to peer was leek me dat de bots weinig tot geen bruikbare informatie over de beheerders hebben.
Mellow Jack @trogdor20 december 2013 16:52
Ja echt geniaal... Snel stoppen voordat de complete werking van het botnet wordt uitgevogeld :)
TitusV 20 december 2013 16:22
Kan niet geloven dat een dergelijk lucratief botnet gewoon simpel opgegeven werd.
Misschien dat er ondertussen al een nieuw botnet klaar staat om in gebruik genomen te worden en dat op deze manier een beetje wind weggenomen werd van de beheerders?
TunefulDJ_Mike @TitusV20 december 2013 16:28
Het lijkt me dat je af en toe beter eieren voor je geld kan kiezen, als ze je namelijk vinden en vervolgen ben je nog verder van huis. Daarom zullen ze de botnet wel hebben opgegeven, werd ze waarschijnlijk te heet onder de voeten
McBoom 20 december 2013 16:14
Ik kan er maar één ding over zeggen: Goed bezig!! d:)b Op naar de volgende(n), die zullen er ongetwijfeld zijn.
henk717 20 december 2013 16:40
Als dit zo is en het botnet niet simpel weg verhuurd / gekocht werd en dus nog op de een of andere manier actief is en ontwikkeld wordt is dit een zeer goede zaak.
Als ik in de gevonden virus lijsten keek van honeypots kwamen er regelmatig zeer recentie versies van zaccess en sirefef uit (soms wel een paar versies per uur). En het staat ook nog is bekend als lastig te detecteren malware.

Kudo's aan microsoft als het ze echt gelukt is.

Update : Een van mijn bronnen (Ik zou graag een link posten als dit binnen de ToS van tweakers valt (Je kunt hier malware samples downloaden) heeft zeroaccess voor het laatst gespot op 3 december. Het zou dus goed kunnen dat de malware inderdaad niet meer wordt ontwikkeld.

[Reactie gewijzigd door henk717 op 22 juli 2024 20:00]

Anoniem: 142554 20 december 2013 16:44
ben benieuwd of ZeroAccess nu de source-code vrij gaat geven.. als ze inderdaad zouden hebben op gegeven..
Anoniem: 16328 20 december 2013 18:07
Hoe kunnen de beheerders van een botnet worden gevonden door MS dan?
reflex1967nl 20 december 2013 23:40
mooi komen we weer beetje meer van die malware af _/-\o_

Op dit item kan niet meer gereageerd worden.

Apple iPhone 16e LG OLED evo G5 Google Pixel 10 Samsung Galaxy S25 Star Wars: Outlaws Nintendo Switch 2 Apple AirPods Pro (2e generatie) Sony PlayStation 5 Pro

Tweakers is onderdeel van DPG Media B.V.
Alle rechten voorbehouden - Auteursrecht © 1998 - 2025 Hosting door TrueFullstaq