Botnet Grum herrijst tijdelijk uit de dood
Het reusachtige botnet Grom, dat eerder deze maand het zwijgen werd opgelegd, kwam korte tijd tot leven nadat de eigenaren een internetprovider hadden omgekocht.
De eigenaren van Grum hadden in verschillende landen zogenoemde Command & Control-servers staan, die honderdduizenden computers aanstuurden voor het rondzenden van spam.
Toen een team van veiligheidsspecialisten begon om deze servers offline te halen, reageerden de eigenaren van Grum door de C&C-servers te verplaatsen naar een provider in Oekraïne. Na overleg met de ISP, SteepHost, werden ook deze commandocentra afgesloten.
Dit had het einde moeten zijn van Grum, een botnet dat op zijn hoogtepunt het op twee na grootste ter wereld was. Maar volgens Atif Mushtaq van beveiligingsbedrijf FireEye begon het netwerk afgelopen weekeinde plotseling toch weer met het versturen van spam. De instructies kwamen van de servers bij SteepHost, de eerder genoemde Oekraïense provider.
Spamhaus, dat zich bezig houdt met spambestrijding en onderdeel uitmaakte van de operatie tegen Grum, nam onmiddellijk contact op met SteepHost en de C&C-servers verdwenen voor een tweede keer offline.
Volgens de internetprovider was de oorzaak te wijten aan een inbraak. Ze verzekerden dat de fout niet nogmaals zal voorkomen. Ze zeiden zelfs dat ze ditmaal de harde schijven zullen wissen van de gewraakte servers.
“We vermoeden dat de botherders een grote som geld moeten hebben betaald om weer toegang te krijgen tot deze servers”, zegt Mushtaq in een blogpost.
Hij vult aan dat SteepHost een fikse waarschuwing heeft gekregen: als een dergelijk akkefietje nogmaals voorkomt, kan een klacht worden ingediend bij zijn upstream-provider of loopt het bedrijf het risico om op een zwarte lijst terecht te komen.
