ZeroAccess klikfraudebotnet duikt opnieuw op
Het ZeroAccess botnet werd in 2013 door Microsoft uit de lucht gehaald. Het botnet is echter uit zijn as herrezen en springlevend. ZeroAccess richt zich opnieuw op klikfraude en datadiefstal.
Cybercriminelen richtte zich met de originele variant van ZeroAccess voornamelijk op grote zoekmachines en webbrowsers. Door deze te hacken wisten de hackers grote hoeveelheden bezoekers door te sluizen naar hun eigen websites, waar bezoekers malware kregen aangeboden. Met behulp van deze malware werden de geïnfecteerde machines vervolgens weer toegevoegd aan het botnet, waardoor deze explosief groeide.
Klikfraude
Het botnet werd voornamelijk gebruikt voor klikfraude. Microsoft schatte in 2013 dat dit adverteerders wereldwijd maandelijks zo’n 2,7 miljoen dollar kostte. De Amerikaanse IT-gigant opende daarop samen met Norton by Symantec de aanval op het botnet en wist deze uit de lucht te halen.
Het botnet is in totaal zo’n zes maanden inactief geweest. Onderzoekers van Dell SecureWorks melden dat het peer-to-peer botnet op 21 maart 2014 voor het eerst weer opdook, waarna de hackers tot 2 juli 2014 bezig zijn geweest met het herbouwen van het netwerk. Op 15 januari 2015 zouden voor het eerst weer klikfraude templates, templates die machines in het netwerk vertellen wat zij moeten doen, gedistribueerd zijn naar het botnet.
Geen nieuwe machines
De onderzoekers merken op dat er sinds de aanpak van Microsoft in 2013 geen nieuwe machines meer zijn toegevoegd aan het botnet. Het huidige botnet bestaat dus volledig uit machines die sinds 2013 al besmet zijn met de malware van de aanvallers. Het is natuurlijk de vraag hoe lang het duurt voordat de cybercriminelen het botnet weerbeginnen uit te breiden.
Tussen 17 januari en 25 januari 2015 hebben de onderzoekers in totaal 55,028 unieke IP-adressen weten te identificeren die deelnemen aan het botnet. De meeste hiervan zijn afkomstig uit Japan, India en Rusland. Er zitten echter ook IP-adressen tussen uit Duitsland, Italië, Roemenië, de Verenigde Staten, Brazilië, Venezuela en Taiwan.
Meer over
Lees ook
Barracuda: "Schadelijke bots vertonen steeds ‘menselijker’ gedrag"
In een nieuw rapport over botactiviteit van de afgelopen 12 maanden is de onderzoekers opgevallen dat er ook een nieuwe categorie AI-bots in opkomst is, die als ‘grey bots’ beschouwd kunnen worden. Bij deze AI-bots wordt de grens van wat ‘legitieme activiteiten’ zijn, vager.
Grootschalige ontmanteling van botnets
Politiediensten, Eurojust en Europol kondigden Operation Endgame aan. Dit is een grootschalige poging om de infrastructuur van malware en botnets te verstoren en de betrokken personen te identificeren. In een persbericht noemde Europol het de ‘grootste operatie ooit tegen botnets die een cruciale rol spelen bij het verspreiden van ransomware’.
Miljoenen berichten verspreiden LockBit 3.0
Proofpoint observeert sinds 24 april 2024 dagelijks en gedurende ongeveer een week lang campagnes met grote volumes en miljoenen berichten, gefaciliteerd door het Phorpiex-botnet.