Spamhaus DBL statistieken
Cybercriminelen geven er de voorkeur aan hun eigen domeinnamen te gebruiken voor het hosten van botnetcontrollers, in plaats van gebruik te maken van ISP-domeinnamen of een gewoon IP-adres. Het gebruik van een toegewijde domeinnaam stelt hen in staat om snel een nieuwe VPS op te starten, de botnetcontrollerkit te laden en weer in contact te komen met hun botnet na het afsluiten van hun vorige hostingprovider. Dit bespaart hen de noodzaak om de configuratie van elk geïnfecteerd apparaat op het botnet te wijzigen.
Meest gebruikte domeinen in 2014
In 2014 registreerde Spamhaus DBL 3.793 domeinen die specifiek zijn opgezet voor het hosten van botnetcontrollers. Dit aantal sluit gekaapte domeinen uit, evenals domeinen van “gratis subdomein” providers. De meest gebruikte generieke TLD’s (gTLD) en landcode TLD’s (ccTLD) door cybercriminelen voor botnetoperaties in 2014 waren onder andere:
- 1.542 in .com (gTLD)
- 855 in .ru (ccTLD)
- 313 in .net (gTLD)
- 283 in .su (ccTLD)
Voorkeursregistrars voor botnetdomeinen
De lijst van domeinregistrars die het vaakst door cybercriminelen worden gebruikt in 2014 wordt gedomineerd door grote registrars, maar ook door kleinere registrars met een hoge proportie van geregistreerde cybercrime-domeinen. Veel registrars zijn niet in staat om frauduleuze registraties te detecteren voor ze live gaan. Hierdoor vereisen botnets met C&C-domeinen geregistreerd via dergelijke registrars langdurige en gecoördineerde inspanningen om ze uit te schakelen, vaak met betrokkenheid van de TLD- of ccTLD-registratie.
Onschuldige gebruikers lopen hierdoor risico op identiteitsdiefstal en andere vormen van fraude.