Dismanteling van cybercrime-netwerk
Na de succesvolle ontmanteling van een groot cybercrime-netwerk op 9 november 2011, onder de naam ‘Ghost Click’, ontstonden er vragen over de rol van Internet Service Providers (ISPs) in het beschermen van hun gebruikers tegen dit botnet.
Rol van ISPs bij bescherming van gebruikers
ISPs hadden de mogelijkheid om hun gebruikers te beschermen door netwerkverkeer te monitoren en, indien nodig, verkeer te blokkeren dat naar gebieden van cybercriminelen leidde. Dit zou kunnen helpen bij de identificatie en bescherming van eindgebruikers wiens computers waren geïnfecteerd met de DNSChanger-malware.
DNSChanger-malware en botnet-functies
De DNSChanger-malware wijzigde de DNS-instellingen op de computers van slachtoffers, waardoor onschuldige gebruikers werden doorgestuurd naar websites die gecontroleerd werden door de Rove Digital-groep. Deze sites leken vaak op de echte sites en konden advertenties vervangen door die van deze cybercriminelen. ISPs hebben verschillende methoden om verkeer te beheren, zoals DNS-filtering, om deze problemen te mitigeren.
Gebruik van de DROP-lijst
Spamhaus, samen met andere beveiligingsbedrijven, heeft alle IP-adressen van Rove Digital in hun DROP-lijst geplaatst, een vitale referentie voor het blokkeren van toegang tot cybercriminelen. Deze lijst kan door ISPs worden gebruikt om DNS-toegang tot deze verdachte gebieden te blokkeren of te loggen, waardoor logistieke rapporten voor geïnformeerde gebruikers en het isoleren van geïnfecteerde systemen mogelijk wordt.