Organisaties wereldwijd brengen botnet voor Cryptolocker-ransomware slag toe

Europols European Cybercrime Centre, de FBI en onder andere de Nederlandse politie hebben bij een gezamenlijke actie het Gameover Zeus-botnet verstoord. Het botnet speelde een cruciale rol bij de verspreiding van de ransomware Cryptolocker.

De gezamenlijke organisaties hebben vrijdag 30 mei servers in beslag genomen, een 30-jarige Rus als leider van de criminele organisatie achter het botnet geïdentificeerd en het Gameover Zeus-botnet 'verstoord', meldt Europol. Dat betekent meestal dat de controle over het botnet is overgenomen, maar vaak weten de criminelen delen van het botnet weer in handen te krijgen door malware op afstand bij te werken, waardoor de opsporingsdiensten voorzichtig zijn met claims dat botnets definitief onschadelijk gemaakt zijn.

Bij Gameover Zeus was een extra moeilijkheid dat het beheer niet via een centrale command&control-server verliep, maar via een infrastructuur die gebruikmaakte van een p2p-netwerk van besmette systemen. Ook werd veelvuldig van encryptie gebruikgemaakt bij de p2p-communicatie en -distributie.

De Amerikaanse Justitie spreekt van het meest geavanceerde botnet dat de organisatie en haar partners tot nu toe hebben weten te verstoren. Bij de actie zijn organisaties uit meer dan tien landen betrokken geweest en namens Nederland hebben de High Tech Crime Unit en naar verluidt onderzoekers van de VU Amsterdam meegewerkt. Ook onderzoekers van de bedrijven Trend Micro, Dell, Symantec en McAfee hebben bijgedragen.

De schattingen over het aantal besmettingen van Windows-systemen met de Gameover Zeus-trojan lopen uiteen van 500.000 tot een miljoen. De bots werden gebruikt voor het verzenden van spam, ddos-aanvallen en de verspreiding van Cryptolocker-ransomware. Daarnaast speurde het trojaanse paard de systemen af op bankgegevens, die gebruikt werden om geld door te sluizen naar rekeningen die in handen waren van de criminelen.

Voor zover bekend zijn er geen arrestaties verricht. Wel is de 30-jarige Rus in de VS aangeklaagd en is hij toegevoegd aan de Cyber's Most Wanted-lijst van de FBI. Het Computer Emergency Readiness Team van de VS heeft een pagina online gezet met informatie over het verwijderen van de malware.

Door Olaf van Miltenburg

Nieuwscoördinator

Feedback • 03-06-2014 12:51 23

03-06-2014 • 12:51

23

Lees meer

Europol rolt in Nederland actieve bende internetcriminelen op
Europol rolt in Nederland actieve bende internetcriminelen op Nieuws van 25 juni 2015
Nederlandse politie en Europol verlammen botnet van 12.000 pc's
Nederlandse politie en Europol verlammen botnet van 12.000 pc's Nieuws van 9 april 2015
Gemeente Lochem voor verkiezingen getroffen door ransomware
Gemeente Lochem voor verkiezingen getroffen door ransomware Nieuws van 17 maart 2015
FBI looft 3 miljoen dollar uit voor brein achter Cryptolocker-botnet
FBI looft 3 miljoen dollar uit voor brein achter Cryptolocker-botnet Nieuws van 25 februari 2015
Microsoft waarschuwt voor nieuwe versie CryptoWall-ransomware
Microsoft waarschuwt voor nieuwe versie CryptoWall-ransomware Nieuws van 15 januari 2015
Europol neemt 292 domeinnamen in beslag om illegale verkoop
Europol neemt 292 domeinnamen in beslag om illegale verkoop Nieuws van 1 december 2014
Europol arresteert tieners op verdenking van misbruiken remote-access-trojans
Europol arresteert tieners op verdenking van misbruiken remote-access-trojans Nieuws van 21 november 2014
Fox-IT waarschuwt voor verspreiding Torrentlocker-malware in Nederland
Fox-IT waarschuwt voor verspreiding Torrentlocker-malware in Nederland Nieuws van 15 oktober 2014
F-Secure helpt slachtoffers SynoLocker bestanden te ontsleutelen
F-Secure helpt slachtoffers SynoLocker bestanden te ontsleutelen Nieuws van 22 augustus 2014
Ransomware richt zich op Synology-opslagsystemen
Ransomware richt zich op Synology-opslagsystemen Nieuws van 4 augustus 2014
'Wereld lijdt jaarlijks 445 miljard dollar verlies door cybercriminaliteit'
'Wereld lijdt jaarlijks 445 miljard dollar verlies door cybercriminaliteit' Nieuws van 9 juni 2014
Microsoft brengt klikfraude-botnet flinke slag toe
Microsoft brengt klikfraude-botnet flinke slag toe Nieuws van 6 december 2013
Maker beruchte SpyEye-trojan is uitgeleverd aan VS
Maker beruchte SpyEye-trojan is uitgeleverd aan VS Nieuws van 4 mei 2013
Criminelen stelen 36 miljoen euro met mobiele malware
Criminelen stelen 36 miljoen euro met mobiele malware Nieuws van 5 december 2012
Fox-IT: grote fouten bij botnet-actie Microsoft
Fox-IT: grote fouten bij botnet-actie Microsoft Nieuws van 12 april 2012
Microsoft haalt samen met justitie VS Zeus-botnets neer
Microsoft haalt samen met justitie VS Zeus-botnets neer Nieuws van 26 maart 2012
Broncode Zeus-malwarebouwpakket lekt uit
Broncode Zeus-malwarebouwpakket lekt uit Nieuws van 11 mei 2011
FBI rolt Zeus-bende op mede dankzij Nederlandse hulp
FBI rolt Zeus-bende op mede dankzij Nederlandse hulp Nieuws van 4 oktober 2010
Meer producten en artikelen
Netwerk en systeembeheer Botnetwerk Politie

Reacties (23)

-Moderatie-faq
23
23
16
1
0
2
Wijzig sortering
Mimiix 3 juni 2014 12:57
Maar in hoeverre Is het dus beschadigd? Want verstoord is niet een begrip waar je nou veel waarde aan kan hechten...
Furinax @Mimiix3 juni 2014 13:13
Justice Department Assistant Attorney General Leslie Caldwell stated:

Over the weekend, more than 300,000 victim computers have been freed from the botnet – and we expect that number to increase as computers are powered on and connected to the internet this week. We have already begun providing victim information to private sector parties who are poised to assist them. I am also pleased to report that, by Saturday, Cryptolocker was no longer functioning and its infrastructure had been effectively dismantled. Through these court-authorized operations, we have started to repair the damage the cyber criminals have caused over the past few years, we are helping victims regain control of their own computers, and we are protecting future potential victims from attack.
Het botnet is (voor een gedeelte) overgenomen tijdens de actie. Wat het op lange termijn doet is maar de vraag omdat geen van de beheerders is opgepakt.
The FBI announced “the unsealing of criminal charges in Pittsburgh and Omaha against alleged botnet administrator Evgeniy Mikhailovich Bogachev of Anapa, Russian Federation.” The FBI added Bogachev to its Cyber’s Most Wanted list.
Bron: http://blogs.computerworl...ware-gameover-zeus-botnet

[Reactie gewijzigd door Furinax op 22 juli 2024 21:03]

Verwijderd @Mimiix3 juni 2014 13:07
Juist omdat dit via P2P loopt is dit niet te voorspellen.
Bij een centrale server staat alle data op een plek.
Bij deze botnet wordt het gedeeld met alle geïnfecteerde computers.
r2504 @Verwijderd3 juni 2014 13:16
De geinfecteerde PCs spreken niet rechtstreeks met elkaar... je hebt dus altijd een centraal communicatie kanaal nodig wat je kan proberen over te nemen en daarmee de geinfecteerde PC's bv. een slechte config kan bezorgen zodat ze geen nieuwe commando's meer kunnen ontvangen.
Verwijderd @Mimiix3 juni 2014 13:23
Maar in hoeverre Is het dus beschadigd? Want verstoord is niet een begrip waar je nou veel waarde aan kan hechten...
Daarom voegt Tweakers dus links toe aan het nieuws, kan je het zelf even lezen.
Verwijderd 3 juni 2014 13:12
Als er 500.000 tot 1 miljoen besmette computers zijn, is er dan niet iets structureel mis met Windows ?
Geen flame, maar constatering.
Verwijderd @Verwijderd3 juni 2014 13:19
Eerder met Windows gebruikers denk ik. Windows zelf kan je in deze vrij weinig verwijten. De meeste malware wordt volgens mij tegenwoordig verspreid als keygen, warez, enz. De gebruiker kiest er 99% van de tijd voor om er zelf op dubbel te klikken en vaak ook nog zelf de UAC melding weg te klikken. Er zijn er zelfs die er de walwarescanner voor uit zetten.
BlackMage @Verwijderd3 juni 2014 14:05
Precies dit. Pokemon_Ruby_GBA_USA.zip.exe bijv. En met een icoontje dat precies op de gezipte folder van Windows lijkt.

Je wil niet weten hoeveel mensen op torrent sites, nieuwsgroepen en zelfs gewoon google zulke troep downloaden.

Opzich wel gerechtigheid >:)
Verwijderd @BlackMage3 juni 2014 14:16
Het blijft me ergens verbijsteren. Een executable van een paar honderd kb, met de naam van een bluray film of 3d shooter. Zijn er werkelijk mensen die denken dat compressie tegenwoordig zo goed is?

Zo worden beestjes als Zues en Cryptolocker kennelijk toch verspreid.
HMC @Verwijderd3 juni 2014 14:48
Ik denk dat velen (dat kunnen wij ons misschien niet voorstellen, maar te veel voorbeelden hier) niet eens naar bestandsgrootte kijken.
Die hebben echt zoiets van: "Hmm, wow, nu al binnen? Dat is snel...I love Internet. Klikkerdeklik."

En bestandsextensies staan heel vaak niet aan. Dus je ziet de .exe niet op menig computer.

[Reactie gewijzigd door HMC op 22 juli 2024 21:03]

Yggdrasil @BlackMage3 juni 2014 14:29
Gerechtigheid? Zij ondervinden er zelf waarschijnlijk nauwelijks last van en de rest van de wereld draait voor de kosten op.
s0larus @Verwijderd3 juni 2014 13:15
Het hoeft niet structureel mis te zijn met Windows maar met de gebruiker die de willekeurig exe opent . Mijn PC was ook besmet met een worm omdat ik die binnen liet.
BenGenaaid @s0larus3 juni 2014 16:44
Als een PC de bestandsextensies van bekende bestanden verbergt (standaard aan) dan weet je niet dat je op een exe klikt

Als Microsoft dit nou standaard uit zou zetten, is het veel eerder (zelfs door een leek) te zien dat er iets niet in de haak is.
Sissors @BenGenaaid3 juni 2014 16:49
Je PC zal nooit een gedownloade exe uitvoeren zonder waarschuwing. Als iemand die waarschuwing negeert, zal die dan wel serieus erop letten dat het geen .exe is? Ik geloof het niet.
BenGenaaid @Sissors3 juni 2014 20:39
Dat hangt er dus vanaf, als jij een bestand download maar niet meteen opent, en daarna vanuit de download folder op het bestand dubbel klikt, ....ik zie geen waarschuwing hoor, en heb niet mjn ogen stiekem dicht :+
Fireshade @Verwijderd3 juni 2014 13:15
Nee, meer met de gebruiker.
Standaard is het op een OS met admin-rechten en zonder antivirus namelijk niet al te moeilijk een virus of trojaans paard expres te installeren. Gewoon "op OK klikken"...

[Reactie gewijzigd door Fireshade op 22 juli 2024 21:03]

chopper88 @Verwijderd3 juni 2014 13:16
Nee er is structureel iets mis bij hoe deze personen omgaan met hun installatie van Windows en de beveiliging hiervan.
kaluro2 @Verwijderd3 juni 2014 13:18
Nee. Het enige probleem zou zijn dat windows niet 100% monkey proof is.
Maar niks is 100% monkeyproof.
De malware is op de computers komen te staan doordat gebruikers geen virusscanner gebruiken en het leuk vinden om de meest vreemde websites te bezoeken en om blij alles te openen, niet omdat windows structureel verkeerd is.

Anders zouden er 100en miljoenen computers besmet zijn geraakt.
BenGenaaid @kaluro23 juni 2014 16:45
Maar niks is 100% monkeyproof.
Jawel hoor, mijn Casio Fx-100A :+
batjes @Verwijderd3 juni 2014 21:40
1miljoen is vette peanuts als je er van uigaat dat er meer dan 1.2miljard Windows systemen in rondloop zijn.
MineTurtle @Verwijderd3 juni 2014 13:17
Er moet eerst een virus zijn voordat er een medicijn gemaakt kan worden, geld voor bijna alle virussen... Vaak is het toch te gebruiker die er achter zit en net dat ene gratis programmatje download, een bijlage opent of op een advertentie klikt...
Verwijderd 3 juni 2014 16:56
ik vraag me af hoeveel pc er besmet zijn, nadat Brein ftd heeft opgerold? Dat zijn er volgens mij aardig wat?
Verwijderd 4 juni 2014 13:07
Mocht het jullie interesseren heeft Sophos ook een gratis virus removal tool beschikbaar die de Cryptolocker malware opspoort en verwijdert en ook infecties van Gameover voorkomt, mocht het botnet weer actief worden (wat slechts een kwestie van tijd is).

Op dit item kan niet meer gereageerd worden.

Apple iPhone 16e LG OLED evo G5 Google Pixel 10 Samsung Galaxy S25 Star Wars: Outlaws Nintendo Switch 2 Apple AirPods Pro (2e generatie) Sony PlayStation 5 Pro

Tweakers is onderdeel van DPG Media B.V.
Alle rechten voorbehouden - Auteursrecht © 1998 - 2025 Hosting door TrueFullstaq