FireEye en Spamhaus nemen Grum botnet onder vuur
In juli 2012 hebben FireEye en andere beveiligingsorganisaties, zoals Spamhaus, het Grum botnet neergehaald. Op dat moment was Grum het op twee na grootste spam-versturende botnet. Het evenement kreeg aanzienlijke media-aandacht.
Takedown van de botnet controllers
Spamhaus werkte aan de uitschakeling van het botnet door de verantwoordelijke internetproviders te benaderen die de controllers van het botnet hostten. Deze controllers, ook wel command & control servers of C&C’s genoemd, werden door de botnet herder gebruikt om het botnet te beheren en de spamcampagnes te coördineren. Nadat de command- en control-infrastructuur van het Grum botnet was uitgeschakeld, probeerden de cybercriminelen hun spamoperatie opnieuw op te zetten door nieuwe controllers in te richten. Gelukkig gaf FireEye snel melding aan Spamhaus, zodat ook deze nieuwe controllers snel konden worden uitgeschakeld.
Vermindering van spamactiviteiten
Sinds de takedowns heeft Spamhaus het Grum botnet continu gemonitord, dat momenteel bestaat uit slechts 150 tot 500 actieve (spam verzendende) IP-adressen per dag. Zonder controllers opereren deze IP-adressen in een ware “zombie”-toestand. Daarom kunnen we een maand later concluderen dat het Grum botnet als dood kan worden beschouwd.
Toename van Festi spamactiviteiten
Enkele weken voor de ondergang van het Grum botnet werd een enorme toename in spamactiviteiten waargenomen van een ander spam botnet, bekend als Festi of Spamnost door sommige antivirusleveranciers. In juni 2012 was het aantal actieve IP-adressen dat als Festi werd gedetecteerd relatief klein in vergelijking met Grum. Echter, het dreigingslandschap veranderde snel aan het eind van juni, toen Festi zijn ware gezicht begon te tonen.
In juli zag Spamhaus een significante stijging in Festi-spamactiviteiten. Op het hoogtepunt werd in een periode van 24 uur bijna 300.000 IP-adressen gedetecteerd die door Festi waren geïnfecteerd. Dit had een overweldigende impact op de spamdetectieprocessen bij enkele beveiligingsorganisaties.
Concurrentie tussen botnets
Sinds Festi een groter volume spam is gaan verzenden, zijn zij en Cutwail verwikkeld in een strijd om de eerste plaats in de ranglijst van de grootste spam botnets ter wereld. De gegevens tonen aan dat Grum inmiddels niet meer actief is, terwijl Festi het “gemis” van de Grum-spam heeft opgevangen.
Voortdurend toezicht
Als onderdeel van Spamhaus’ missie om internetgebruikers te beschermen tegen spam-e-mail, zal de organisatie wereldwijd blijven monitoren en betrouwbare bescherming bieden tegen deze dreiging met behulp van hun gegevens. Bovendien biedt de BGP-feed (BGPf) van Spamhaus bescherming tegen diverse soorten botnetcontrollers, waaronder die welke voor spamverzending worden gebruikt.