Gigantische PinkBot ontdekt in het wild

In november 21, 2021 onderzoekers van 360NetLab hebben een staal genomen van het grootste waargenomen botnet. Het kreeg de naam Pink vanwege zijn functies die beginnen met het woord roze. Tijdens piekuren had PinkBot controle over 1.6 miljoen apparaten waarvan de meeste (96%) gevestigd in China. Met een zeer robuuste architectuur richt het zich voornamelijk op op mips gebaseerde glasvezelrouters. Botnet gebruikt een combinatie van services van derden, P2P en centrale C2's voor zijn 'bots om de communicatie te regelen. Met een absolute verificatie van de C2-communicatie zorgt het ervoor dat Botnet-knikken niet gemakkelijk kunnen worden losgekoppeld of overgenomen.

Het grootste botnet zou controle kunnen krijgen over 1.6 miljoen apparaten

Op 30 november, 2019 niet nader genoemde beveiligingspartner informeerde de 360NetLab dat ze ontdekten 1,962,308 unieke dagelijkse actieve IP's van dit botnet die ze raken. onderzoekers’ eigen naleving toonde het aantal 1.65 miljoen. De meeste concentratie vond plaats in China (96%) zich verspreiden over 33 provincies. De getroffen providers zijn onder meer China Telecom (>15%) en China Unicom (>80%).

Uit de gegevens die in tal van dimensies zijn berekend, zoals NetFlow-gegevens, actief peilen, en realtime monitoring, het aantal Bot node IP-adressen dat met dit botnet is verbonden, overtreft 5 miljoen. Aangezien breedband-IP's voor thuisgebruik dynamisch worden toegewezen, de juiste grootte van de geïnfecteerde apparaten erachter kan niet precies worden berekend, en er wordt aangenomen dat het werkelijke aantal geïnfecteerde apparaten in de miljoenen loopt.

“Een van de belangrijkste basissen van de meting is dat het aantal IP's dat in één minuut op C2 was aangesloten, ruim een ​​miljoen bedroeg,” volgens een rapport van het National Computer Network Emergency Response Technical Team/Coördinatiecentrum van China (CNCERT/CC).

De PinkBot-sporen op Github

Onderzoekers hebben de PinkBot getraceerd tot oktober 16, 2018. Op dat moment hadden de makers een pink78day-account op Github. Nu heeft de aanvaller het account gesloten. Momenteel mypolo111 aangemaakt eind november 2019 bestaat op Github. De hacker kan in een oogwenk een account wijzigen door gewoon een nieuw transactierecord toe te voegen aan zijn BTC-portemonnee. Je kunt het account dus niet zomaar blokkeren. U moet de opgegeven BTC-portemonnee blokkeren om de PinkBot te verstoren. De aanvaller gebruikte ook een Chinese website om het Botnet te verspreiden met logica vergelijkbaar met het Github-project.

een botnet (afkorting voor "robotnetwerk") betekent een netwerk van computers die zijn geïnfecteerd met malware waarover een enkele partij op afstand controle kan krijgen. Elke individuele machine in de besturing heet bot. Een aanvaller kan bots opdracht geven om verschillende criminele acties uit te voeren. Meestal bevat het: DDoS-aanvallen, gerichte inbraken, e-mail spam en financiële inbreuk. Behalve dat hackers zelfs toegang kunnen huren tot delen van hun botnet op de zwarte markt.

Over Andy

Cybersecurity-journalist uit Montreal, Canada. Heeft communicatiewetenschappen gestudeerd aan Université de Montreal. Ik wist niet zeker of een journalistieke baan is wat ik in mijn leven wil doen, maar in combinatie met technische wetenschappen, het is precies wat ik graag doe. Het is mijn taak om de meest actuele trends in de cyberbeveiligingswereld op te vangen en mensen te helpen omgaan met malware die ze op hun pc's hebben.

Controleer ook

Aanvallers forceren meestal geen lange wachtwoorden

Aanvallers forceren meestal geen lange wachtwoorden

Uit Microsoft's netwerk van honeypot-servergegevens bleek dat zeer weinig aanvallen lang en complex waren …

Nog een Windows-nuldag zorgt voor beheerdersrechten

Nog een Windows-nuldag zorgt voor beheerdersrechten

Onderzoeker Abdelhamid Naceri, die deze keer vaak over Windows-bugs rapporteert, heeft een werkende proof-of-concept laten vallen …

Laat een antwoord achter