
Achter het cybercrime nieuws (5-3-2018)
Grootste DDoS ooit. Nu! Met losgeld-eis!
Op 28 februari werd Github geraakt door een nieuw type DDos aanval. Met 1,3 Tbs (terabits per seconde) ongeveer twee keer zo veel als de vorige recordhouder, het Mirai-botnet. Dit nieuwe type amplificatie-aanval maakt misbruik van een feature op Linux-systemen, waardoor het mogelijk wordt om met behulp van een gewone huis-tuin-en-keuken computer een enorme aanval te bewerkstelligen.
Memcached (spreek uit, op z’n Engels: Memcache-dee), de naam zegt het al, is bedoeld om data tijdelijk op te slaan om andere (langzamere) systemen te ontzien. Het communiceert via UDP, een protocol zonder authentificatie. Het is dan ook niet bedoeld voor systemen die op het internet aangesloten zijn.
De aanval werkt als volgt: vind een aantal Linux servers die memcached draaien, en stuur ze een file van 1 megabit, en vraag die file vervolgens een paar duizend keer op, waarbij je als afzenderadres het slachtoffer gebruikt. Waarna je file een paar duizend keer naar het slachtoffer wordt gestuurd.
En die file van 1 megabit die je stuurt? Dat is 1 megabit aan herhaling van een losgeld-verzoek: “Stop 50 Monero in ons account en de aanval stopt.”
Er zijn zo’n 50.000 Linux servers op het internet aangesloten met memcached enabled. Een configuratiefoutje lijkt me. Waar ze zelf ook last van hebben nu. Het zou me niet verbazen als we binnenkort een nog grotere memcached aanval te zien krijgen, en het daarna langzaam wegebt. Want niet alleen kunnen de beheerders van de fout geconfigureerde machines memcached uitschakelen, ook hostingproviders kunnen er wat aan doen.
Memcached gebruikt poort UDP-poort 11211, en een aantal providers zijn al begonnen met verkeer over deze poort te blokkeren. Dus nog even geduld hebben en deze mega-aanvallen zijn weer over. Tot de volgende amplified attack methode wordt gevonden.
Meer lezen? qratorlabs, akamai, akamai en krebs.
Avalanche-leider (weer) opgepakt in Oekraïne
Even een opfrisser. Het botnet Avalanche werd ontdekt in 2008, en is mogelijk de opvolger van Rock Phish. Het kreeg zijn naam vanwege het belachelijk grote aantal aanvallen. De Avalanche groep deed aan phishing, bankfraude en ransomware. Ze verspreidden ook Zeus malware en verhuurden delen van het botnet.
In november 2016 werden de 5 kopstukken achter Avalanche – na een 4 jaar durende internationale politie/industie-samenwerking – opgepakt. Een van hen, Gennady Kapkanov, werkte niet bepaald mee. Hij verwelkomde de politie met kogels (de politie vond later een revolver en een kalasjnikov in zijn woning) en probeerde via het balkon te ontsnappen.
Desondanks werd hij door de lokale rechter in de aanloop naar het proces vrijgelaten. Er waren geen redenen om aan te nemen dat hij een gevaar voor samenleving zou zijn. De officier van justitie was vergeten te vermelden dat er een vuurgevecht had plaatsgevonden…
En nu is Kapkanov dus weer opgepakt. Weer in de Oekraïne. Eigenlijk al op 30 november, maar het nieuws werd pas op 26 februari door de Oekraïense politie naar buiten gebracht. Misschien wilden ze even afwachten wat de rechter zou doen.
Koop nu je telefoon met vooraf geïnstalleerde malware
https://news.drweb.com/show/?i=11749&lng=en&c=14
Dr. Web, een Russisch antivirusbedrijf, maakte bekend dat ze meer dan 40 Android modellen hadden gevonden met vooraf geïnstalleerde malware. Het zijn vooral goedkopere toestellen van obscure Chinese merken. De malware is Android.Triada.231, een banking trojan die alleen verwijderd kan worden door het hele systeem opnieuw te installeren.
Van de betreffende telefoonmerken, zoals Leagoo, Doogee, Advan en Cherry Mobile, heb ik nog nooit gehoord, maar Dr. Web beweert dat ze over de hele wereld worden verkocht. Van Dr. Web had ik overigens ook nog nooit gehoord…
No Comments :