Cisco haalt botnet van 23.000 computers offline

[Captain Kirk]

Onderzoekers van Cisco hebben een botnet offline gehaald dat uit 23.000 computers bestond. De computers waren met de GozNym Trojan besmet, een Trojaans paard speciaal ontwikkeld om geld via internetbankieren te stelen. Eerder dit jaar liet IBM weten dat de malware miljoenen dollars had gestolen.

De malware maakt gebruik van een Domain Generation Algorithm (DGA) dat elke dag nieuwe domeinnamen genereert. Een aantal van deze domeinen wordt vervolgens voor de communicatie met de besmette computers gebruikt. Doordat onderzoekers van Cisco het algoritme wisten te kraken konden ze zien welke domeinnamen er in de toekomst werden gegenereerd. Deze domeinnamen registreerden de onderzoekers en lieten vervolgens naar een server van Cisco wijzen.

Zodoende maakten de besmette computers geen verbinding met de botnetserver, maar die van Cisco. In de eerste 24 uur ontving de server van Cisco 23.000 "beacons". Dit is een signaal dat een besmette computer naar de command & control-server van het botnet stuurt. Elke besmette machine stuurt slechts één beacon, waardoor de onderzoekers stellen dat het aantal slachtoffers van het botnet uit zo'n 23.000 machines bestaat. Bijna de helft van de besmette computers bevindt zich in Duitsland, gevolgd door de Verenigde Staten met 37%.

 

 

bron: security.nl