Het op twee na grootste botnet van het moment is geëlimineerd. Na onderzoek en melding van securitybedrijf FireEye zijn nu alle command&control servers offline gehaald, waardoor de honderdduizenden zombie-pc's geen instructies meer kunnen krijgen.

Vijf c&c servers bij Ecatel

Een abuse-medewerker van een Nederlandse isp, die anoniem wil blijven, tipte na een eerder bericht van FireEye de Nederlandse hoster Ecatel, waarna die twee servers in kwestie offline haalde. Naast de twee actieve c&c servers stonden er ook nog drie ongebruikte Grum commandoservers bij Ecatel. De blogpost van FireEye suggereerde in eerste instantie dat de Nederlandse autoriteiten bij de actie betrokken waren, maar dat is niet het geval.

Het Grum-botnet was de afgelopen tijd goed voor bijna 20 procent van alle verstuurde spam wereldwijd. Maar de opzet van de infrastructuur was niet heel dynamisch. De IP-adressen van de twee hoofdcommandoservers, die in Panama en Rusland waren gehost, stond hardcoded in de malware op de zombie-pc's. Nu die commandocentrale is uitgeschakeld kunnen de zombies dus niet meer tot leven worden gewekt.

Crimeware-vriendelijk

Ecatel-directeur Reinier van Eeden was niet bereikbaar voor commentaar. Het Nederlandse hostingbedrijf, formeel een Engelse entiteit, heeft een niet te best imago. Ecatel stond de afgelopen jaren regelmatig hoog op verschillende ranglijsten van crimeware-vriendelijke hosters.