Nederland is qua internetinfrastructuur onvolprezen, en dat weten ook cybercriminelen. Een nieuwe versie van het Pony-botnet blijkt vanuit Nederland te worden aangestuurd, meldt securitybedrijf Trustwave. Zowel de command & control (C&C) server als een reverse proxy of gateway zijn in ons land gehost.

Trustwave ontdekte circa 2 miljoen gestolen wachtwoorden op de servers. Het lijkt alsof 97 procent van die wachtwoorden van Nederlandse slachtoffers is, maar dat is schijn, veroorzaakt door de proxy. Dit Pony-botnet infecteerde overal pc’s, in bijna honderd landen.

8000 ADP wachtwoorden

De meerderheid van de gestolen wachtwoorden is van Facebook, op afstand gevolgd door Yahoo, Google en Twitter. Zorgwekkend is dat er ook bijna 8000 logins bij zitten van ADP, een aanbieder van gehoste software voor salarisadministratie.

De sterkte van de veel wachtwoorden is, zoals immer, bedroevend. Sterker nog, vergeleken met gelekte MySpace-wachtwoord uit 2006 blijkt dat de top 10 van veelgebruikte wachtwoorden (met ‘123456’ stijf bovenaan) in de Pony-database populairder is dan destijds bij MySpace.

Minder complex, wel langer

Dat kan echter ook goed komen doordat MySpace een minimum aan wachtwoordcomplexiteit afdwong. Dat is verstandig, constateert Daniel Chechik, want verwacht niet dat gebruikers zelf met complexe wachtwoorden komen. Overigens is over het gebruik van langere wachtwoorden (met meer dan 9 karakters) wel flink toegenomen.

Trustwave vermeldt niet met welke malware payload het Pony-botnet zijn zombies ronselde en op welke wijze de wachtwoorden werden geëxtrafiltreerd.