Miljoenen nieuwe ip-adressen onderdeel van twee botnets

[Captain Kirk]

De afgelopen paar weken zijn miljoenen nieuwe ip-adressen onderdeel van twee specifieke botnets geworden en toegevoegd aan de blocklist van anti-spamorganisatie Spamhaus. De Exploits Block List (XBL) van Spamhaus bestaat uit ip-adressen die onderdeel van een botnet zijn en malware verspreiden.

De afgelopen weken is het aantal ip-adressen op de blocklist gestegen van 10 miljoen naar 15 miljoen. De toename is volgens Spamhaus te verklaren door twee botnets. Het eerste botnet wordt gebruikt voor het versturen van spam voor Chinese pornosites. Dit botnet maakt mogelijk misbruik van een beveiligingsprobleem in proxysoftware die in China erg populair is.

Het tweede botnet dat voor de groei van de blocklist verantwoordelijk is, is het Avalanche/Gamarue-botnet. Het Avalanche-botnet werd eind 2016 door de FBI en Europol uit de lucht gehaald. Begin dit jaar werd de vermeende ontwikkelaar van het botnet in Oekraïne opgepakt. Hoewel de servers om het botnet mee te besturen uit de lucht zijn gehaald, zijn er nog tal van computers met de malware besmet. Deze computers proberen weer andere machines te infecteren.

Daarnaast zijn de besmette machines nog steeds onveilig en kunnen anderen daar misbruik van maken, zegt Quentin Jenkins van Spamhaus. Hij merkt op dat zelfs als alle botnetbendes worden opgerold, de malware die ze hebben gemaakt actief blijft. "Dit is iets dat ons nog lange tijd zal blijven achtervolgen. De Conficker-bot is ook nog steeds actief, ook al is diens controlenetwerk jaren geleden verdwenen."

 

 

bron: security.nl