Zombies (botnets) rukken op in Nederland

Gepubliceerd op 20 april 2021 om 15:00

Spamhaus meldt een sterke stijging van het aantal botnetservers in Nederland. In vergelijking met een jaar eerder steeg het aantal botnetservers in ons land met 27 procent. Daarmee schiet ons land Rusland voorbij, dat jarenlang de Europese lijst aanvoerde.

Botnet

Een botnet is een netwerk van geïnfecteerde computers, die ook wel zombies worden genoemd. Vaak hebben de computereigenaren niet eens in de gaten dat ze onderdeel uitmaken van een botnet. De computers in het netwerk worden aangestuurd door een zogeheten botmaster. Hij kan deze gebruiken om een Distributed Denial of Service of kortweg DDoS-aanval uit te voeren. Hiermee worden servers en websites platgelegd doordat ze bestookt worden met enorme hoeveelheden verbindingsaanvragen.

Een andere toepassing van een botnet is door internetgebruikers te overspoelen met spamberichten. Hiervoor gebruiken de daders zogeheten Command & Control servers. Je kunt deze beschouwen als het zenuwcentrum of hoofdkwartier van waaruit cybercriminelen gestolen data ontvangen en spam versturen. Met spamberichten proberen oplichters mensen over te halen om gevoelige informatie in te vullen.

Emotet botnet

Met enige regelmaat worden dergelijke operaties stilgelegd door (internationale) opsporings- en handhavingsinstanties. Voor hackers is het echter een koud kunstje om de volgende dag weer hun oplichtingspraktijken voort te zetten. Eind januari nam de Nederlandse politie deel aan een internationale operatie om het Emotet-botnet uit de lucht te halen. Twee van de drie hoofdservers van het botnet stonden in ons land en werden door de politie overgenomen. Agenten plaatsten vervolgens een update op de servers die de malware onschadelijk maakte. Daarnaast creëerde de politie Emotet-checker: een tool waar slachtoffers konden zien of hun e-mailadres in de database van de aanvallers voorkwam. In totaal stonden er meer dan 600.000 slachtoffers op de servers.

Groei eerste kwartaal 2021

Dat laatste blijkt wel uit de cijfers van Spamhaus. De antispamorganisatie telde in het vierde kwartaal van 2020 1.337 C&C-servers. In het eerste kwartaal van dit jaar groeide dat aantal naar 1.660. Dat is een toename van bijna 25 procent in drie maanden tijd. In januari groeide het aantal botnet C&C servers het hardst, namelijk met 757.

Kijken we waar deze botnets staan, dan zien we dat ons land er niet al te best van afkomt. In het vierde kwartaal telde Nederland nog 163 botnet C&C servers. In de laatste telling komt het aantal uit op 207, omgerekend een stijging van 27 procent. Nederland staat daarmee op de tweede plaats van de landen waar de meeste botnet C&C servers zijn aangetroffen. Eind vorig jaar stond Rusland nog op de tweede plek met 247 botnets. In de eerste drie maanden van het jaar daalde het aantal C&C servers met 21 procent naar 195. De VS neemt de eerste positie in met 338 botnet C&C servers (was 348).

Dropper

Spamhaus heeft gekeken welke malware familie geassocieerd wordt met botnet Command & Control servers. Emotet staat met stip boven aan de lijst en werd in het eerste kwartaal 272 keer aangetroffen. De aanvallers maakten volgens de onderzoekers gebruik van een methode die Dropper wordt genoemd. Een Dropper is malware die geïnstalleerd moet worden om een aanvullende payload (de echte digitale dreiging) op het geïnfecteerde systeem te krijgen.

Racoon & FickerStealer

Andere malware die nauw geassocieerd zijn met botnet C&C servers, zijn Raccoon en FickerStealer. Beide malware zijn het afgelopen kwartaal voor het eerst aangetroffen en zijn credential stealers: malware die inloggegevens probeert te bemachtigen. RemcosRAT vormde na Emotet begin dit jaar de grootste dreiging. Dat is een Remote Access Trojan (RAT): een Trojaans paard waarmee hackers via een achterdeurtje toegang krijgen tot je computer en deze van afstand kunnen overnemen. QNodeService maakte in 2020 zijn opwachting, maar is inmiddels helemaal van de radar verdwenen.

Registrar Namecheap

De Amerikaanse registrar Namecheap blijkt het populairst te zijn bij cybercriminelen om hun botnet C&C server te registreren. Het bedrijf voert al jaren de lijst aan met de meest misbruikte registrars. “Wanneer zal dit veranderen? We weten het niet. Maar gezien de lange geschiedenis van misbruik bij Namecheap, verwachten we niet dat het snel zal zijn!”, meldt Spamhaus. Op de tweede plaats staat het Chinese Eranet International, met een stijging van 249 procent. Het Russische RegRU groeide het afgelopen kwartaal het hardst met maar liefst 341 procent.

Spamhaus Botnet Report 2021 Q 1
PDF – 843,9 KB 372 downloads

Bron: spamhaus.org, vpngids.nl

Meer info over ‘botnet’?

Tips of verdachte activiteiten gezien? Meld het hier.

Botnet gerelateerde berichten

Zombies (botnets) rukken op in Nederland

Spamhaus meldt een sterke stijging van het aantal botnetservers in Nederland. In vergelijking met een jaar eerder steeg het aantal botnetservers in ons land met 27 procent. Daarmee schiet ons land Rusland voorbij, dat jarenlang de Europese lijst aanvoerde.

Lees meer »

De slagkracht van een botnetwerk

Als je aan cyberaanvallen denkt, stel je waarschijnlijk een hacker met een capuchon voor die in een donkere kamer zit en drukdoende op zijn toetsenbord aan het typen is. Echter dit is niet altijd de realiteit van de meeste cyberaanvallen. Vele cyberaanvallen zijn inmiddels geautomatiseerd met behulp van voorgeprogrammeerde bots. Deze bots kunnen veelvoorkomende cyberaanvallen sneller en op veel grotere schaal uitvoeren dan menselijke hackers en ze zijn bovendien ook moeilijker te detecteren zijn.

Lees meer »