De nederlandse politie heeft genomen onderaan deze week een bulletproof hosting provider die is beschut tientallen IoT botnets die verantwoordelijk zijn voor honderden duizenden van DDoS-aanvallen rond de wereld, ZDNet heeft geleerd.
Servers werden in beslag genomen, en de twee mannen werden gearresteerd, gisteren in de kantoren van KV Solutions BV (KV hierna), een zogenaamde bulletproof hosting provider, een term die gebruikt wordt voor web hosting providers die negeren misbruik rapporten en kunt cybercrime activiteiten om te werken op hun servers.
Voor twee jaar, heeft het bedrijf verstrekt hosting infrastructuur voor internet criminelen, en is een van de meest ernstige dader op dat, hosting allerlei badies, phishing-pagina ‘ s om vulnerability scanners, en van crypto-mijnbouw te malware repositories.
Maar bovenal, het bedrijf heeft een reputatie in cyber-security cirkels voor een hotspot voor DDoS-botnets, met cyber-criminelen huren KV-servers voor het hosten van hun bot-scanners, malware, en command-and-control (C&C) servers, te weten zouden ze veilig zijn van “schade.”
KV gehost allerlei botnets
Alleen al dit jaar, KV gehost tientallen van deze DDoS-botnets, waarvan de meeste zijn verwerkt in deze Twitter mega-draad van threat intelligence bedrijf Slecht Pakketten LLC.
Je zou een heleboel voor 185.244.25.0/24 als u zou dit kunnen doen. 13,618 rapporten voor deze netblock op @AbuseIPDB: https://t.co/Wz7yi31cEC https://t.co/8C4W1RAZvy
— Slechte Pakketten Rapport (@bad_packets) 7 januari 2019
De botnets zijn gemaakt met behulp van zogenaamde “IoT malware,” wat is malware, ontworpen om te infecteren Linux-gebaseerde besturingssystemen die draaien op routers en andere “smart” (Internet of Things) apparaten.
In een interview met ZDNet, Slechte Pakketten zei de botnets bediening van KV de infrastructuur was waargenomen in het afgelopen jaar het scannen van het internet en op zoek te infecteren een breed scala van apparaten, zoals:
ASUS routersAVTECH IoT devicesGPON routersFritz!Vak routersHuawei routersJAWS web servers (generieke IoT)MikroTik routersNetgear routersZTE kabel modems
Terwijl de overgrote meerderheid van de DDoS-botnets die op KV de infrastructuur was gezien met een versie van de Mirai IoT malware, de hosting firma heeft ook koesterde botnets gebouwd met allerlei andere Dingen malware, omvat bijna alle IoT malware varianten gezien in het afgelopen jaar:
FbotGafgytHakaiHandymannyMiraiMoobottsunamiyowai
De overgrote meerderheid van deze botnets werden bediend door “script kiddies”, of “skidz,” een term betekende belachelijk te maken ongetalenteerde hackers die gebruik maken van kant-en-klaar of geautomatiseerde tools voor het bouwen van botnets.
Echter, sommige waren ook wordt gebruikt door enkele van de meest getalenteerde hackers. Bijvoorbeeld, Subby, een beruchte IoT malware coder en botnet operator, was bekend bij gebruik KV-infrastructuur.
Daarnaast zijn sommige van deze botnets bereikte ook grote maten, goed voor tienduizenden geïnfecteerde apparaten; uiteindelijk onder de aandacht van cyber-security bedrijven, met name Trend Micro en Qihoo 360 Netlab, die de tijd en middelen in te graven in hun werking.
KV gehost DDoS booter diensten
Bovendien, KV diende ook als een hosting provider voor sommige botnets die onderdeel waren van de DDoS-for-hire (DDoS booter) diensten, volgens Troy Mursch, mede-oprichter van Slechte Pakketten.
“We hebben al de controle van schadelijke activiteit afkomstig uit hun netwerk nu een jaar,” Mursch vertelde ZDNet in een interview vandaag.
“De overgrote meerderheid van de malware samples gehost door hen werden gebruikt voor DDoS-aanvallen. Dit gaat hand-in-hand met hen hosting het botnet command-and-control (C2) – servers. Het was een one-stop-shop voor DDoS – /booter diensten,” Mursch toegevoegd.
Al met al, Mursch zei dat “in 2019, Slechte Pakketten gedetecteerd 440,261 exploiteren pogingen die afkomstig zijn van en/of verwijzen naar malware payloads georganiseerd door KV Oplossingen.”
Slachtoffer van DDoS-aanvallen die afkomstig is van de KV-hosted botnets zijn Ubisoft, Wish.com en over elke grote cloud-en web hosting provider die u een naam kunt geven, zoals AWS, Microsoft Azure, OVH, AT&T, Comcast, Cox -, Charter -, en China Unicom; maar een paar te noemen.
KV nooit in actie gekomen tegen de slechte klanten
Maar deze hoge concentratie van DDoS vuurkracht op de infrastructuur van één bedrijf kon niet onopgemerkt voor altijd.
Verschillende security-onderzoekers en bronnen in de web hosting gemeenschap hebben verteld ZDNet dat het bedrijf “had het al aankomen.”
KV beheerders sarcastisch genegeerd misbruik van iedereen en mogen hun klanten te lopen ongebreideld.
Klachten aan de nederlandse autoriteiten met de komst van vorig jaar, en veel collega-web hosting providers en security onderzoekers zijn de mond gesnoerd om de stilte het hele jaar, zoals de nederlandse cyber politie langzaam kwamen de bewijzen die ze nodig te nemen van het bedrijf.
Twee gearresteerd
De nederlandse politie ten slotte stapte in en deed een inval in de kantoren van het bedrijf gisteren, dinsdag, 1 oktober, rond de tijd dat het bedrijf een bericht geplaatst op haar Facebook-pagina, de aankondiging van “een storing” van een gecodeerde boodschap om klanten te vegen van hun servers.
De nederlandse autoriteiten hebben de raid publiek van vandaag, in een persbericht, waarin ook genoemd de arrestatie van twee verdachten, een 24-jarige man uit Veendam en een 28-jarige man uit Middelburg.
De twee-Marco B., 24, van Veendam, en Angelo K., 28, uit Middelburg-worden aangenomen dat de oprichters van een netwerk van vijf onderling verbonden bedrijven. De nederlandse privacy wetgeving niet toe dat het onthullen van een verdachte bij de volledige naam, dus we vereerd met deze eis voor onze rapportage.
Marco B. en Angelo K. wordt vermeld als de eigenaren van twee web-hosting bedrijven, namelijk KV Solutions BV en Lifehosting BV, maar ook drie IT-bedrijven, HET Bos Holding BV, Kreikamp IT Holding BV, en KBIT Holding BV, die alle zeggenschapsrechten in elkaar, op basis van publieke gegevens van de nederlandse Kamer van Koophandel.
Alle websites en domeinen van de vijf bedrijven die hierboven vermeld staan zijn nu naar beneden. Telefoon telefoongesprekken om contact met telefoonnummers op in de cache versies van deze sites werden niet beantwoord.
Terwijl de nederlandse politie verklaring dat vandaag gepubliceerd wordt alleen melding wordt gemaakt van “de hosting van de IoT botnets,” KV de infrastructuur gehost veel andere malware ook. KV het openbare IP-blok was 185.244.25.0/24. Malware operatie die had servers in dit adres ruimte zag een aantal ongelukkige downtime.
En zoals het gebeurde in andere invallen van bulletproof hosting providers, de gegevens van de in beslag genomen servers zal waarschijnlijk leiden tot andere arrestaties, zoals botnet-exploitanten en auteurs van malware.
Veiligheid
Linux te krijgen kernel ‘lockdown’ functie
Google ‘s oorlog op deepfakes: Als de verkiezingen kijkt, het aandelen ton van AI-nep-video’ s
De meeste malspam bevat een kwaadaardige URL van deze dagen, niet bestand bijlagen
Ransomware: de reden Waarom het betalen van het losgeld is een slecht idee om iedereen op de lange termijn (ZDNet YouTube)
Beste home security 2019: Professionele monitoring en DIY (CNET)
De meeste Fortune 500-bedrijven nog steeds ondoorzichtig over veiligheidsmaatregelen (TechRepublic)
Verwante Onderwerpen:
Beveiliging TV
Data Management
CXO
Datacenters