Beheer

Security
servers

Botnet lek: 43 miljoen mailadressen op straat

Vooral adressen van oudere mailservices in trek bij ransomware-criminelen.

© Pixabay. Pixabay.
13 juni 2018

Vooral adressen van oudere mailservices in trek bij ransomware-criminelen.

Meer dan 43 miljoen e-mailadressen zijn uit een c&c-server (command & control) van een spambotnet gelekt. Dat meldt de Amerikaanse technologiewebsite Bleeping Computer.

Het lek in de aansturingsserver voor het botnet kwam boven water toen een beveiligingsanalist van Vertek onderzoek deed naar een recente malwarecampagne. De campagne distribueerde een versie van de Trik-trojan, die later gebruikers infecteerde met een tweetraps-payload die de GandCrab3-ransomware binnenbracht.
De schadelijke bestanden die door Trik en Gandcrab werden gedownload op de geïnfecteerde systemen waren afkomstig van een server op een Russisch IP-adres. 

Isn’t it ironic?

Opvallend genoeg ontdekte de Vertek-analist, die verder anoniem blijft, dat de server die door de ransomware werd gebruikt zelf niet goed geconfigureerd was. Wie het IP-adres direct benaderde, had toegang tot de bestanden op die server. Daar waren in totaal 2201 tekstbestanden te vinden, met daarin ruim 44 miljoen e-mailadressen van gebruikers over de hele wereld. “De e-mailadressen komen overal vandaan, we zagen ruim vier miljoen unieke domeinnamen”, zo vertelde de analist.

Uit zijn onderzoek bleken de adressen vooral van oudere mailservices te komen. Zo waren mailadressen van Yahoo (10,6 miljoen) en AOL (8,3 miljoen adressen) ruim vertegenwoordigd. Nieuwere adressen, zoals Gmail-adressen waren in veel kleinere aantallen aanwezig, wat het vermoeden wekt dat de database ofwel incompleet was, of dat de malware opzettelijk was gericht op gebruikers van oudere e-mailservices.

De Trik-trojan

De Trik-trojan is inmiddels een klassieke malware-downloader. Het smeedt geïnfecteerde computers samen tot een gigantisch botnet. Eigenaren van dit botnet gebruiken deze computers om nieuwe spamcampagnes te verzenden, of ze verkopen zogenaamde "install space" op deze computers weer door aan derden. Laatstgenoemde malafide activiteit vormt voor de geïnfecteerde gebruikers een meer persoonlijke bedreiging. De door de Vertek-analist ontdekte GandCrab-infecties zijn hier een voorbeeld van.

De Trik-trojan is inmiddels al minimaal tien jaar een actieve bedreiging, en heeft recentelijk een heropleving gezien, volgens dit Proofpoint-rapport.

Lees meer over
Lees meer over Beheer OP AG Intelligence
Reactie toevoegen
De inhoud van dit veld is privé en zal niet openbaar worden gemaakt.