Trend Micro ondersteunt Interpol bij ontmanteling SIMDA-botnet

Info SnippetTrend Micro heeft in samenwerking met verschillende wereldwijde wetshandhavingsinstanties en security-partners deelgenomen aan ‘Operation SIMDA’, een wereldwijde actie gecoördineerd door Interpol. Deze operatie was erop gericht een groot botnet offline te halen dat wereldwijd meer dan 770.000 computers heeft geïnfecteerd. SIMDA werd door cybercriminelen gebruikt om op afstand toegang tot computers te krijgen en vervolgens persoonlijke informatie te stelen, waaronder inloggegevens voor online bankieren. Daarnaast werden de computers gebruikt om andere kwaadaardige malware te installeren en verspreiden. 

Servers in Nederland
Tijdens de actie werden meerdere command & control-servers offline gehaald, waaronder servers in Nederland. Volgens Interpol zijn er in de eerste maanden van 2015 alleen al in de Verenigde Staten ongeveer 90.000 nieuwe infecties gedetecteerd. Het SIMDA-botnet strekte zich uit over meer dan 190 landen, waarbij de Verenigde Staten, het Verenigd Koninkrijk, Turkije, Canada en Rusland het meest zijn getroffen.

SIMDA, de malware achter het botnet
Het botnet is gebaseerd op de backdoor SIMDA. Een opvallend kenmerk van deze malware is dat het HOSTS-bestanden wijzigt. Zodra gebruikers een legitieme website bezoeken, wordt geprobeerd hen door te verwijzen naar een kwaadaardige website. Ons onderzoek laat zien dat de malware gericht was op populaire websites, zoals Facebook, Bing, Yahoo en Google Analytics, evenals hun regionale tegenhangers: bijvoorbeeld Yahoo Singapore, Bing Duitsland, enzovoort. Hiermee wilde de maker van het botnet zoveel mogelijk gebruikers raken. Hieronder een voorbeeld van een aangepaste HOSTS-bestand.

Figure 1. Modified HOSTS file

Figure 1. Modified HOSTS file

 

 

 

 

 

 

 

 

 

 

 

“De samenwerking tussen experts op het gebied van technologie, security en wetshandhavers is noodzakelijk om cybercriminelen voor te blijven”, zegt Eva Chen, CEO van Trend Micro.

Botnets in het Threat Landscape
Voor de meeste cybercriminelen is het creëren van een botnet de voorloper van andere kwaadaardige activiteiten. Botnets kunnen worden gebruikt om spam te versturen, distributed denial-of-service (DDoS)-aanvallen uit te voeren, of aanvallen op gerichte domeinen.

Om deze aanvallen uit te voeren, moeten cybercriminelen constant in contact staan met alle computers. Het aantal computers kan overigens oplopen in de duizenden. Op dat punt komen command-and-control (C & C) servers kijken. Door een C & C-infrastructuur kan er een dedicated verbinding worden gemaakt tussen de cybercrimineel en het netwerk van hun slachtoffer.

Botnets kunnen voor slachtoffers op twee manieren schadelijk zijn: ze sturen bedreigingen naar gebruikers en betrekken onwetende slachtoffers bij andere kwaadaardige activiteiten. Daarnaast betekent het dat wanneer een gebruiker deel uitmaakt van een botnet, hij of zij geen controle meer heeft over zijn of haar computer. De cybercrimineel achter het bot kan de geïnfecteerde computer dicteren wat de computer kan en zal doen.

Bescherming
Trend Micro beschermt gebruikers tegen het SIMDA botnet door het detecteren van malware varianten als BKDR_SIMDA.SMEP,  BKDR_SIMDA.SMEP2 en andere BKDR_SIMDA-varianten. TROJ_HOSIMDA.SM is de detectie naam Trend Micro voor de aangepaste HOSTS bestanden. Alle bijbehorende URL’s zijn eveneens geblokkeerd. Niet-klanten van Trend Micro kunnen Trend Micro Housecall gebruiken voor het scannen.

Meer informatie over SIMDA lees je in deze Engelstalige blogpost.

 

Geef een antwoord

Het e-mailadres wordt niet gepubliceerd.

Deze site gebruikt Akismet om spam te verminderen. Bekijk hoe je reactie-gegevens worden verwerkt.