Nederlandse politie haalt botnet-hostingprovider offline

De Nederlandse politie is binnengevallen bij een ‘bulletproof’ hostingprovider die zijn diensten onder verleende aan hackers. Servers die onder andere hosting boden voor malware en command en control-servers van grote botnets, werden in beslaggenomen.

De Nederlandse politie is binnengevallen bij hostingprovider KV Solutions BV. Dat is een zogenaamde ‘bulletproof hoster’: een hostingprovider die de regels naast zich neerlegt en klachten over misbruik negeert. De servers van de provider waren dan ook erg in trek bij criminelen. KV Solutions BV werd gelinkt aan maar liefst 440.261 pogingen tot malware-infectie in het laatste jaar alleen al.

DDoS C&C

Hackers gebruikten de servers niet alleen om malware-payloads te hosten. De gepercipieerde veiligheid van de hosters trok een heleboel command en control-servers aan. Dat zijn de servers van waaruit een botnet van gehackte zombie-apparaten wordt aangestuurd. C&C-servers voor IoT-botnets waren het populairst. Het gros van de servers stuurde Mirai-botnets aan. Sommige van die botnets bevatten tienduizenden geïnfecteerde apparaten.

In totaal zouden meer dan honderdduizend DDoS-aanvallen gelanceerd zijn via botnets beheerd langs infrastructuur die door KV Solutions werd gehost. Bedrijven als Ubisoft, Wish, AWS, Microsoft Azure en Google kwamen al in het vizier van aanvallers terecht.

Inval

Door de enorme populariteit van de diensten van de Nederlandse provider bij criminelen begonnen ook beveiligingsbedrijven de servers in het oog te houden. Het laatste jaar werkten onderzoekers samen met de Nederlandse politie om bewijslast te verzamelen. Op dinsdag kwam het tot een raid van het hoofdkwartier. Alle hardware werd in beslag genomen en twee Nederlanders van 24 en 28 jaar oud werden opgepakt.

De raid legt in principe verschillende botnets lam en ook andere malwarecampagnes krijgen een slag in het gezicht. Bovendien is de kans groot dat de inbeslagname in de nabije toekomst tot verdere arrestaties zal leiden. De succesvolle actie betekent niet dat botnets plots verleden tijd zijn. Mirai is bijvoorbeeld as-a-service beschikbaar, en criminelen die de malware gebruiken om eigen botnets op te zetten zitten over de hele wereld.