C&C-servers van beruchte criminele botnet Simda afkomstig uit Nederland

Samenwerking Kaspersky Lab met INTERPOL, industrie en juridische instanties om botnet te ontwrichten

Utrecht, 13 april 2014 – In een wereldwijde operatie, gecoördineerd door het INTERPOL Global Complex for Innovation in Singapore, heeft een groep leidende IT-bedrijven het criminele Simda botnet ontwricht. Het botnet behelst een netwerk van duizenden geïnfecteerde pc’s over de hele wereld. Bij de operatie waren Kaspersky Lab, Microsoft, Trend Micro en het Cyber Defense Institute in Japan betrokken. Zij werkten samen met diverse wetshandhavingsinstanties.

In een reeks simultane acties op donderdag 9 april zijn in Nederland tien command & control servers in beslag genomen. In de VS, Rusland, Luxemburg en Polen zijn aanvullende servers neergehaald. Bij de operatie waren leden van de Dutch National High Tech Crime Unit (NHTCU) uit Nederland betrokken, evenals de FBI in de VS, de Police Grand-Ducale Section Nouvelles Technologies in Luxemburg en het Russische Ministry of the Interior’s Cybercrime Department “K”. Deze partijen werden ondersteund door het INTERPOL National Central Bureau in Moskou.

Deze actie zal naar verwachting een significante impact hebben op het functioneren van het botnet. Het zal de kosten en risico’s voor cybercriminelen doen toenemen indien zij hun illegale activiteiten willen voortzetten. Ook voorkomt het dat computers van slachtoffers gebruikt worden voor kwaadaardige doeleinden.
  • Simda is een “pay-per-install” malware die gebruikt wordt om ongeoorloofde software en verschillende soorten malware te distribueren, inclusief de varianten die in staat zijn om financiële gegevens te stelen. Het pay-per-install model maakt het voor cybercriminelen mogelijk om geld te verdienen door toegang tot geïnfecteerde pc’s te verkopen aan andere criminelen die vervolgens aanvullende programma’s installeren.
  • Simda wordt gedistribueerd door een aantal geïnfecteerde websites die doorverwijzen naar exploit kits. De aanvallers compromitteren legitieme websites/servers zodat de webpagina’s die aan de bezoekers getoond worden kwaadaardige code bevatten. Wanneer gebruikers deze pagina’s bekijken, laadt de kwaadaardige code onopgemerkt de content van de geëxploitteerde site en infecteert een niet-geüpdate pc.
  • Het Simda botnet is gedetecteerd in meer dan 190 landen, waarbij de VS, het Verenigd Koninkrijk, Rusland, Canada en Turkije het ergst getroffen zijn.
  • Naar schatting heeft het botnet wereldwijd 770.000 computers geïnfecteerd, waarvan de grote meerderheid zich in de VS bevond (meer dan 90.000 nieuwe infecties sinds het begin van 2015).
  • Simda blijkt al jaren actief en wordt in rap tempo steeds verder geoptimaliseerd om elke kwetsbaarheid te kunnen exploitteren. Elke paar uur worden er nieuwe, moeilijker detecteerbare varianten gegenereerd en gedistribueerd. Op dit moment bevat de viruscollectie van Kaspersky Lab meer dan 260.000 uitvoerbare bestanden die behoren tot verschillende versies van de Simda malware.

Lees voor meer informatie het volledige persbericht online.

Kijk om te controleren of jouw systeem onderdeel is van een Simda botnet op de website van Kaspersky Lab.

Lees meer over de ontwrichting van het Simda botnet op Securelist.com.