Malware achter neergehaald botnet verspreidde ransomware, spambots en spyware

Een door Europol en de FBI neergehaald botnet, genaamd Andromeda, verspreidde volgens Microsoft verschillende soorten malware, waaronder ransomware en spyware. Vooral computers in Aziatische landen zijn getroffen door de malware achter het botnet.

Microsoft schrijft in een analyse dat de malware achter het Andromeda-botnet ook wel Gamarue wordt genoemd. Deze infecteerde computers, waardoor ze onderdeel werden van het botnet. Dat was volgens het bedrijf verantwoordelijk voor de verspreiding van allerlei andere soorten malware, waaronder de ransomwarevarianten Petya en Cerber. Daarnaast verspreidde het spambots, ddos-malware en kwaadaardige software om informatie te stelen. In totaal ging het om 80 malwarevarianten. Microsoft schrijft meer dan 1200 ip-adressen toe aan de command-and-control-infrastructuur van Andromeda.

In de afgelopen maanden detecteerde Microsoft de Gamarue-malware op gemiddeld 1 miljoen systemen per maand, naar eigen zeggen voornamelijk in Aziatische landen. Een door het bedrijf gepubliceerde kaart toont ook veel activiteit in Europa. Gamarue zou op hackerforums verkocht worden als bot, een programma dat aanvallers een geïnfecteerde computer laat overnemen. Het is modulaire malware, waardoor het mogelijk is om verschillende componenten te kiezen. Bijvoorbeeld een keylogger, rootkit, een tool om websiteformulieren te onderscheppen en een remote-desktoptool.

Europol meldde maandag dat het samen met onder meer de FBI en verschillende bedrijven het Andromeda-botnet uit de lucht heeft gehaald. Daarbij werden 1500 domeinen naar een server onder controle van de opsporingsdiensten omgeleid door middel van sinkholing. Op die manier wist Microsoft binnen 48 uur 2 miljoen unieke ip-adressen van Andromeda-slachtoffers vast te leggen. Bij het neerhalen bouwden de opsporingsdiensten voort op een soortgelijke actie bij het Avalanche-botnet een jaar geleden. Bij de huidige actie is een verdachte aangehouden in Wit-Rusland.

Gamarue / AndromedaGamarue-infectieprocessen volgens Microsoft

Door Sander van Voorst

Nieuwsredacteur

Feedback • 05-12-2017 07:4628

05-12-2017 • 07:46

28 Linkedin Whatsapp

Lees meer

Verzekeraar moet 1,4 miljard dollar vergoeden in belangrijke ransomwarezaak
Verzekeraar moet 1,4 miljard dollar vergoeden in belangrijke ransomwarezaak Nieuws van 5 mei 2023
'Britse overheid gaf scholieren laptops geïnfecteerd met Gamarue-virus'
'Britse overheid gaf scholieren laptops geïnfecteerd met Gamarue-virus' Nieuws van 21 januari 2021
Europol haalt 33.654 domeinen offline die in vervalste goederen handelden
Europol haalt 33.654 domeinen offline die in vervalste goederen handelden Nieuws van 26 november 2018
Criminelen verspreiden GandCrab-ransomware in Nederland via sollicitatiemails
Criminelen verspreiden GandCrab-ransomware in Nederland via sollicitatiemails Nieuws van 3 oktober 2018
Microsoft detecteerde groot aantal aanvallen met coinminingmalware in Rusland
Microsoft detecteerde groot aantal aanvallen met coinminingmalware in Rusland Nieuws van 8 maart 2018
Europol: RAT-malware werkt niet meer na gecoördineerde politieactie
Europol: RAT-malware werkt niet meer na gecoördineerde politieactie Nieuws van 5 februari 2018
Politiediensten pakken verdachten op achter verspreiding ransomware in Europa
Politiediensten pakken verdachten op achter verspreiding ransomware in Europa Nieuws van 20 december 2017
'Snelgroeiend botnet richt zich op kwetsbare internet-of-things-apparaten'
'Snelgroeiend botnet richt zich op kwetsbare internet-of-things-apparaten' Nieuws van 20 oktober 2017
Google verwijdert 300 apps uit Play Store die deel uitmaakten van Android-botnet
Google verwijdert 300 apps uit Play Store die deel uitmaakten van Android-botnet Nieuws van 29 augustus 2017
'Ddos-aanval door Mirai-botnet op Dyn was eigenlijk gericht op gameservers'
'Ddos-aanval door Mirai-botnet op Dyn was eigenlijk gericht op gameservers' Nieuws van 21 augustus 2017
'WannaCry trof meer dan 700.000 unieke ip-adressen'
'WannaCry trof meer dan 700.000 unieke ip-adressen' Nieuws van 30 mei 2017
Europol-actie tegen Avalanche-malwarenetwerk leidt tot arrestaties
Europol-actie tegen Avalanche-malwarenetwerk leidt tot arrestaties Nieuws van 1 december 2016
Meer producten en artikelen
Netwerk en systeembeheer Microsoft Botnetwerk Europol Security

IT-banen

Meer vacatures

Reacties (28)

-Moderatie-faq
28
20
11
4
0
3
Wijzig sortering
densoN
5 december 2017 09:02
Kan iemand me uitleggen hoe het vandaag de dag nog mogelijk is dat er code wordt geïnjecteerd in legitieme microsoft processen? Je zou toch denken dat microsoft eenvoudig met een hashcheck de integriteit van deze processen kan checken? Dat het niet realtime kan omwille performance kan ik me nog wel indenken, maar waarom niet periodiek.

Ook apart dat ze bij de sandbox check hyper-v niet meenemen. Microsoft heeft naar mijn weten toch minimaal 25% marktaandeel.
SunnieNL
@densoN5 december 2017 09:32
code injectie gebeurd vaak in het geheugen, dan is de hash check van het bestand al geweest. Malware overschrijft vrijwel nooit de bestanden op disk, maar gebruiken bestanden met een bekende naam op een andere plek dan het hoort. Voor Microsoft is het dan niet te zien of dit niet een gewone applicatie is die je wil starten en gebruikers denken in task manager dat het om een legitiem proces gaat, omdat je alleen naar de naam kijkt en niet naar de locatie vanwaar het gestart is.
Wh4ck0
@SunnieNL5 december 2017 12:33
Dat klopt, daarom zou je goede sandboxing moeten gebruiken, dan zou je NOOIT bij het geheugen van een ander proces kunnen en zou dit geen probleem zijn. Alleen is het erg lastig dat de Windows architectuur juist draait op dll's en afhankelijkheden van andere process wat het erg lastig maakt om dit te veranderen.
densoN
@SunnieNL5 december 2017 15:52
Interessant, bedankt voor de toelichting!
walteij
@densoN5 december 2017 09:12
Die hashcheck die je noemt kan inderdaad. Microsoft heft daar ook iets voor, dat heet applocker.
Hiermee kun je via een group policy bijvoorbeeld via de hash van een bestand het uitvoeren van een dergelijk bestand toestaan (als de hash voldoet aan de GPO).
Probleem hiermee is dat het niet echt heel gebruikersvriendelijk is, want iedere executable die gestart kan worden, moet dan gewhitelist worden door Applocker.

Een ander probleem is dat er zo gigantisch veel verschillende executables zijn (iedere versie een andere hash) en dan weet ik veel hoeveel verschillende programma's van alle software bouwers, dat een centrale database gewoon niet hanteerbaar zal zijn.
Als je naar puur Microsoft processen gaat kijken, zijn dit er al enorm veel. Vanuit een gebruikervriendelijkheid is ervoor gekozen om die controles niet uit te voeren, omdat je dan het UAC effect krijgt:
"De HASH van dit programma is gewijzigd, weet u zeker dat u dit programma wilt uitvoeren?"
Of:
"De HASH van dit programma is gewijzigd, het starten van dit programma is niet toegestaan"
En dat na iedere update, voor pakweg 100 processen....... Kun je de reacties van alle Windows gebruikers voorstellen?
hackerhater
@walteij5 december 2017 10:00
Wat al flink zou schelen is de Apple-manier dat programma's default ondertekend moeten zijn met een geldig certificaat. En een error als het niet overeenkomt.
Dat je als gebruiker handmatige stappen moet uitvoeren om niet ondertekende software uit te voeren.

Of die "store" van hen eens goed inrichten dat het a la de package-managers van Linux werkt.
PolarBear
@hackerhater5 december 2017 11:42
Wat al flink zou schelen is de Apple-manier dat programma's default ondertekend moeten zijn met een geldig certificaat. En een error als het niet overeenkomt.
Dat je als gebruiker handmatige stappen moet uitvoeren om niet ondertekende software uit te voeren.
Dat kan ook met AppLocker.
hackerhater
@PolarBear5 december 2017 11:50
Ik bedoel dus out of the box zonder handmatig toevoegen alle applicaties
En voor alle versies.
vczion
@hackerhater5 december 2017 19:30
Maakt niet uit als jouw programma in memory wordt geinjecteerd met andere code. Zoals in de hoofdreactie wordt gezegd.
hackerhater
@vczion5 december 2017 19:31
Alleen moet de mallware dan wel eerst op het systeem komen ;)
Het is zeker geen perfecte oplossing, maar het scheelt een hoop
janbaarda
@densoN5 december 2017 11:08
Tegenwoordig meer last van z.g. "Webcontent" in Firefox. Neemt al gauw 25% van beschikbare CPU tijd.
Chuk
5 december 2017 08:13
Goeie vangst, vraag me af hoe ze de mensen met geïnfecteerde PC's gaan contacteren.
Mellow Jack
@Chuk5 december 2017 08:16
Vaak word dit via de ISP gedaan...

OT; 1200 IP adressen is aardig wat, zou graag de architectuur plaat eens willen zien... Best impressive

[Reactie gewijzigd door Mellow Jack op 5 december 2017 08:17]

himlims_
@kozue5 december 2017 08:56
Verschil is dat google/facebook dit doen met toestemming van 'slachtoffer' :+ het functioneel verschil laat ik in het midden :)
Anoniem: 1005589
@kozue5 december 2017 10:37
Mijn gehele verbinding word opgevraagt door “derden partij”, zo noemen google en fb dit allesinds toch, Telkens weer indien ik langere tijd gebruik maak van aparatuur... Ik (kan) akkoord gaan en dan pas verder gebruik maken van google... Natuurlijk ga je dan akkoord. Ik heb helemaal niks gedaan en dan ga ik nog moeten instaan voor zware risico’s die ze mij voorleggen indien ik de voorwaarden niet opvolg...? Nope.

Het gaat verder dan alleen de privicy op sociale media en “cookies” die niet na één keer verdwijnen.

[Reactie gewijzigd door Anoniem: 1005589 op 5 december 2017 10:38]

LocK_Out
@Anoniem: 10055895 december 2017 12:48
Beste man/vrouw. Wandel even naar het gathering.tweakers.net gedeelte.
janbaarda
@Anoniem: 10055895 december 2017 11:02
Misschien helpt: het gehele systeem uitschakelen en alle OS-en opnieuw installeren. Na zo'n schone installatie wel de boel beter beveiligen anders begint het (met een andere malware) opnieuw.
be3a18
@Anoniem: 10055895 december 2017 10:33
Wat ik kan aanraden is de Zemana anti-malware scanner. Die moet je wel installeren. Deze is erg goed.

Het is - helaas - wel zo dat een grondige schoonmaakactie Windows kan verpesten. Denk dan onverklaarbare herstarts met een vage foutcode waar je niet meer vanaf kan komen.

Als je Windows 10 hebt, kun je Systeemherstel draaien met behoud van bestanden. Je moet daarna wel al je software weer installeren maar je hebt nog wel je bestanden.

Dit systeemherstel verwijderd gegarandeerd de malware, Misschien is dit wel beter om direct te doen.
DeZwarteLijst
@be3a185 december 2017 17:01
Kleine nota, er zijn al malware strains die ook system restore images infecteren.
Nog niet gehoord in Win10, en of dit uberhaupt mogelijk is, maar in voorgaande versies zeker wel.

Een system restore is absoluut geen malware scan. Vergeet dit niet.
Edit: Superuser link erachteraan als source:
https://superuser.com/que...e-virus-from-the-computer

[Reactie gewijzigd door DeZwarteLijst op 5 december 2017 17:01]

hackerhater
@Anoniem: 10055895 december 2017 12:01
Klinkt alsof meerdere apparaten in je netwerk besmet zijn en ze elkaar elke keer weer besmetten.
Mijn advies: Alle apparaten afkoppelen en ze een voor 1 cleanen en er weer in hangen.
Reset ook je router!

Op dit item kan niet meer gereageerd worden.

Tweakers maakt gebruik van cookies

Tweakers plaatst functionele en analytische cookies voor het functioneren van de website en het verbeteren van de website-ervaring. Deze cookies zijn noodzakelijk. Om op Tweakers relevantere advertenties te tonen en om ingesloten content van derden te tonen (bijvoorbeeld video's), vragen we je toestemming. Via ingesloten content kunnen derde partijen diensten leveren en verbeteren, bezoekersstatistieken bijhouden, gepersonaliseerde content tonen, gerichte advertenties tonen en gebruikersprofielen opbouwen. Hiervoor worden apparaatgegevens, IP-adres, geolocatie en surfgedrag vastgelegd.

Meer informatie vind je in ons cookiebeleid.

Sluiten

Toestemming beheren

Hieronder kun je per doeleinde of partij toestemming geven of intrekken. Meer informatie vind je in ons cookiebeleid.

Functioneel en analytisch

Deze cookies zijn noodzakelijk voor het functioneren van de website en het verbeteren van de website-ervaring. Klik op het informatie-icoon voor meer informatie. Meer details

janee

    Relevantere advertenties

    Dit beperkt het aantal keer dat dezelfde advertentie getoond wordt (frequency capping) en maakt het mogelijk om binnen Tweakers contextuele advertenties te tonen op basis van pagina's die je hebt bezocht. Meer details

    Tweakers genereert een willekeurige unieke code als identifier. Deze data wordt niet gedeeld met adverteerders of andere derde partijen en je kunt niet buiten Tweakers gevolgd worden. Indien je bent ingelogd, wordt deze identifier gekoppeld aan je account. Indien je niet bent ingelogd, wordt deze identifier gekoppeld aan je sessie die maximaal 4 maanden actief blijft. Je kunt deze toestemming te allen tijde intrekken.

    Ingesloten content van derden

    Deze cookies kunnen door derde partijen geplaatst worden via ingesloten content. Klik op het informatie-icoon voor meer informatie over de verwerkingsdoeleinden. Meer details

    janee