Een recent rapport over het dreigingslandschap Uit een publicatie van Fortinet blijkt dat, hoewel de FBI en de Europese wetshandhaving eind 2017 een einde maakten aan de heerschappij van het Andromeda-botnet, er nog steeds systemen zijn geïnfecteerd met de malware. Het bedrijf geeft aan dat het proces van het opruimen van de geïnfecteerde pc's niet in hetzelfde tempo in alle regio's vordert, omdat het nog steeds een groot probleem is in Afrika, Azië en het Midden-Oosten.
In de kern is Andromeda – of beter gezegd Gamarue – een platform dat een heel scala aan malwarevarianten levert (eigenlijk slechts 80), waaronder ransomware, banktrojans, spambots, klikfraude-malware en meer. Tussen juni 2017 en de veronderstelde ondergang vóór begin 2018 was Andromeda op dreef. gedetecteerd en geblokkeerd op meer dan 1 miljoen machines gemiddeld per maand.
Aanbevolen video's
Volgens Microsoft, omvatte de commando- en controlestructuur van Andromeda 1.214 domeinen en IP-adressen. Het bestond ook uit 464 ‘afzonderlijke’ botnets en meer dan 80 bijbehorende malwarefamilies. Andromeda werd op de zwarte markt verkocht als een ‘misdaadpakket’ dat een botbouwer, een command-and-control-applicatie en documentatie over het maken van een botnet omvatte.
Wat Andromeda tot een aantrekkelijk product maakte, was het modulaire karakter ervan. De kit werd geleverd met twee plug-ins, waarvan er één een pc in een proxyserver kon veranderen. Voor nog eens $ 150 konden hackers de keylogger-plug-in kopen of voor nog eens $ 250 de Formgetter-plug-in, die gegevens vastlegde die via webbrowsers werden verzonden.
Hackers verspreiden Andromeda via verschillende methoden, zoals berichten op sociale media met kwaadaardige links, spam-e-mail met vergelijkbare links, trojan-downloaders en meer. Nadat Andromeda een machine had geïnfecteerd, nam hij contact op met een commando- en controleserver om onderdeel te worden van een grotere netwerk van geïnfecteerde pc's. Toen dat eenmaal gebeurde, konden hackers alles doen met het in beslag genomen leger aan machines.
Maar zoals het rapport aangeeft, is het wegwerken van Andromeda geen eenvoudige opgave. Alleen al in Afrika heeft Andromeda de hoogste prevalentie met 25,6 procent, gevolgd door de H-worm met 13,8 procent en Ramnit met 10,07 procent. Andromeda staat bovenaan de hitlijsten in Azië, gevolgd door Ramnit (9,83 procent) en de H-worm (7,4 procent).
Het rapport suggereert dat het probleem met deze hoge percentages waarschijnlijk verband houdt met de respons- en herstelmogelijkheden van deze landen.
Buiten de langzame voortgang van het opruimen van het Andromeda-puin, wijst het rapport op VPNFilter: een door Rusland ontwikkelde, door de natiestaat gesponsorde aanval dat gericht is op netwerkrouters. De FBI heeft eerder een waarschuwing uitgedeeld aan Amerikaanse burgers, waarin ze de Amerikanen opriep hun routers opnieuw op te starten om mogelijke banden met de commando- en controleservers van de malware te verbreken.
Het rapport roept ook het Smominru-botnet een ‘opmerkelijke toevoeging’, een Monero-mijnmalware die zich richt op Windows-pc’s. Het werd verspreid via de EternalBlue-exploit en als botnet werd er elke dag ongeveer 24 XMR gedolven. Op het moment van deze publicatie bedroeg de waarde van één enkele XMR $81, wat betekent dat de hackers ongeveer $1.944 per dag genereerden.
Andere botnets die elke maand een vaste waarde zijn in het Threat Landscape Report van het bedrijf zijn Gh0st, Pushdo, Necurs en drie andere.
Aanbevelingen van de redactie
- Hacker infecteert 100.000 routers bij de nieuwste botnetaanval gericht op het verzenden van e-mailspam
Upgrade uw levensstijlMet Digital Trends kunnen lezers de snelle technische wereld in de gaten houden met het laatste nieuws, leuke productrecensies, inzichtelijke redactionele artikelen en unieke sneak peeks.
