Artikel top billede

DK-CERT: Botnet lammet af spam-gigants endeligt

Månedens drastiske fald i mængden af spam skyldtes, at flere botnet blev lammet, da internetudbyderen McColo fik kappet forbindelsen, skriver Shehzad Ahmad fra DK-CERT.

Den 11. november mistede den amerikanske internetudbyder McColo hovedparten af sin båndbredde til internettet.

Kort tid efter faldt den samlede mængde af spam med op til 60-70 procent, oplyser flere kilder.

Meget tyder altså på, at McColo var ansvarlig for en stor del af den spam, der blev udsendt.

Men de uønskede reklamemails stammede ikke fra udbyderen selv.

Når lukningen alligevel fik så store konsekvenser, skyldes det, at McColo spillede en central rolle for botnet.

Centrale servere

Flere botnet blev nemlig styret fra servere, der befandt sig på McColos net. Det gælder blandt andet botnettene Rustock, Srizbi, Pushdo, Ozdok/Mega-D, Gheg og Warezov.

Et botnet er et netværk af pc'er, som bagmænd kan fjernstyre uden deres ejeres vidende.

Fjernstyringen sker ofte via en eller flere centrale servere, hvorfra der udsendes kommandoer til botnet-pc'erne - for eksempel med besked om, at de skal udsende spam.

Det store fald i spam-mængden skyldes altså sandsynligvis, at botnet-pc'erne ikke længere kunne kommunikere med deres fjernstyringsservere.

Når McColo røg af nettet, skyldes det, at firmaets to internetudbydere, Global Crossing og Hurricane Electric afbrød forbindelsen. Hurricane Electric forklarede det med, at de havde læst om anklager mod McColo for at være involveret i tvivlsomme aktiviteter.

Flyttede til Rusland

McColo kom kortvarigt på nettet igen nogle timer i løbet af den 15. november.

I den periode blev der udsendt opdateringer til botnet-pc'erne på Rustock-botnettet med besked om, at de nu skulle kontakte en fjernstyringsserver i Rusland.

Lukningen af McColo havde en positiv effekt. Men der vil næppe gå længe, før botnetbagmændene har flyttet så stor en del af deres aktiviteter til andre netværk, at de igen kan udsende spam i de samme mængder som før.

De seneste statistikker fra spamfiltre viser da også, at mængden stiger igen.

MessageLabs rapporterer således, at spammængden de senere dage er nået op over 69 procent af alle mails. Det svarer til mængden, før McColo blev lukket.

DK-CERT (www.cert.dk) er det danske Computer Emergency Response Team. I samarbejde med tilsvarende CERT'er over hele verden indsamler DK-CERT information om internetsikkerhed.

DK-CERT udsender advarsler og tager imod anmeldelser af sikkerhedsrelaterede hændelser på internettet.

DK-CERT's leder, Shehzad Ahmad, opdaterer den sidste fredag i hver måned Computerworlds læsere med de seneste tendenser inden for it-sikkerhed.




Brancheguiden
Brancheguide logo
Opdateres dagligt:
Den største og
mest komplette
oversigt
over danske
it-virksomheder
Hvad kan de? Hvor store er de? Hvor bor de?
Ciklum ApS
Offshore software- og systemudvikling.

Nøgletal og mere info om virksomheden
Skal din virksomhed med i Guiden? Klik her

Kommende events
Compliance og strategisk it-sikkerhed efter DORA

Finansielle koncerner har i snit 85 sikkerhedsløsninger i drift – men er i snit op til 100 dage om at opdage et igangværende cyberangreb. Ydermere viser øvelser, at det typisk tager 4-6 uger at rense og genetablere sikker drift af centrale systemer efter et stort angreb. Fokus for dagen vil derfor være på henholdsvis governance samt om, hvordan du som it-leder i den finansielle sektor skal kunne håndtere fremtidens cybertrusler og arbejde effektivt med sikkerhed på et strategisk niveau.

04. april 2024 | Læs mere


EA Excellence Day

Hvad er det, der gør it-arkitektens rolle så vigtig? Og hvad er det for udfordringer inden for områder som cloud, netværk og datacentre, som fylder hos nogle af landets bedste it-arkitekter lige nu? Det kan du her høre mere om og blive inspireret af på denne konference, hvor du også får lejlighed til at drøfte dette med ligesindede.

16. april 2024 | Læs mere


IAM - din genvej til højere sikkerhed uden uautoriseret adgang og datatab

På denne dag udforsker vi de nyeste strategier, værktøjer og bedste praksis inden for IAM, med det formål at styrke virksomheders sikkerhedsposition og effektiviteten af deres adgangsstyringssystemer og dermed minimere risikoen for uautoriseret adgang og datatab. Og hvordan man kommer fra at overbevise ledelsen til rent faktisk at implementere IAM?

18. april 2024 | Læs mere