Wouter Hoeffnagel - 23 juli 2017

Microsoft haalt 70 domeinnamen van cybercrimegroepering offline

Microsoft bestrijdt een Russische cybercrimegroepering door domeinnamen die de groep gebruikt om malware aan te sturen via de rechter op te eisen. Inmiddels zou Microsoft al zo’n zeventig domeinnamen van Command and Control (C&C)-servers hebben overgenomen.

Dit meldt The Daily Beast. C&C-servers zijn servers waarmee cybercriminelen malware op systemen van slachtoffers kunnen aansturen. De servers worden onder andere gebruikt om Distributed Denial of Service (DDoS)-aanvallen op te zetten, waarbij een groot aantal met malware besmette systemen een enorme hoeveelheid verzoeken sturen naar een specifieke server. Deze server wordt hierdoor overspoeld en kan legitieme verzoeken van legitieme gebruikers niet meer verwerken, wat ertoe leidt dat de server onbereikbaar wordt.

Fancy Bear

De domeinnamen in kwestie zijn volgens The Daily Beast gebruikt worden door de cybercrimegroepering Fancy Bear, die door cyberexperts in verband wordt gebracht met Rusland. Door de domeinnamen over te nemen wil Microsoft de groep tegenwerken en zorgen dat zij een deel van de systemen die met hun malware zijn besmet niet meer kunnen bereiken.

De zeventig overgenomen domeinnamen maken allen inbreuk op de merknamen van Microsoft. Denk hierbij aan domeinnamen als livemicrosoft.net en rsshotmail.com. De domeinnamen verwijzen nu door naar de eigen website van Microsoft. Dit stelt het bedrijf in staat verkeer naar de C&C-servers te detecteren en hierdoor slachtoffers van Fancy Bear op te sporen. Deze worden via hun Internet Service Provider (ISP) gewaarschuwd.

Permanente oplossing

Microsoft heeft vrijdag in een hoorzitting gevraagd een permanente toezichthouder aan te stellen die inbreukmakende domeinen in korte tijd offline kan halen. Daarnaast wil Microsoft zo’n 9.000 domeinnamen in handen krijgen die in de toekomst mogelijk misbruikt kunnen worden door cybercriminelen.

Overigens heeft de werkwijze van Microsoft niet op alle malware van Fancy Bear impact. Zo zou sommige malware met behulp van IP-adressen in plaats van domeinnamen verbinding maken met C&C-servers. De actie heeft geen invloed op deze malware.

Trend Micro BW BN week 10-11-13-14-2024 Copaco | BW 25 maart tm 31 maart 2024
Trend Micro BW BN week 10-11-13-14-2024

Wil jij dagelijkse updates?

Schrijf je dan in voor onze nieuwsbrief!