"Kraken is het grootste botnet dat we tot op heden hebben gezien en is ongekend aanwezigheid in zakelijke netwerken. We hebben bewijs dat met Kraken geïnfecteerde computers in tenminste vijftig bedrijven uit de Fortune 500 aanwezig zijn", zegt Paul Royal, hoofdonderzoeker bij Damballa. De specialist in botnetwerken waarschuwt dat Kraken zich snel zal uitbreiden.

Medio april levert Kraken tenminste 600.000 nieuwe slachtoffers per dag op, zo voorspelt het beveiligingsbedrijf op basis van trendcijfers. Een besmette pc kan per dag tot wel 500.000 spamberichten versturen.

Kraken is genoemd naar een mythisch en kwaadaardig zeemonster, dat onder meer in de film Clash of the Titans de oude Grieken terroriseert. Het hedendaagse Kraken dreigt uit te groeien tot het grootste botnet in de geschiedenis. Damballa waarschuwt dat Kraken veelal onopgemerkt blijft, zelfs op computers die voorzien zijn van beveiligingssoftware.

Royal: "Het is gemakkelijk op te sporen maar moeilijk om met antivirussoftware af te dekken. Dat lijkt erop te wijzen, dat de makers goed inzicht hebben in hoe antivirustools werken en hoe ze te kunnen omzeilen". Het nieuwe botnet werd in de winter van 2007 voor het eerst opgemerkt maar onderzoek naar de oorsprong van Kraken gaat terug naar eind 2006.

Leningen en nephorloges

De verspreidingstechniek die Kraken gebruikt is vergelijkbaar met Storm en soortgelijke wormen. Het verleidt eindgebruikers tot het klikken op een afbeelding, die eruit ziet als jpg- of png-bestand. Omdat de werkelijke bestandsextensie is verborgen, ziet de gebruiker niet dat het in feite om een uitvoerbaar bestand gaat. Na het klikken kopieert het programma zich in een iets gewijzigd formaat naar de harde schijf.

Mocht een antivirusprogramma in staat zijn om het originele bestand te herkennen, dan kan het gewijzigde bestand opnieuw de computer infecteren. "Antivirusbedrijven kunnen het niet bijhouden vanwege de vele varianten en de frequentie van updates", meent Royal.

Kraken wordt tot nu toe vooral gebruikt voor spam waarin de gebruikelijke leningen, medicijnen en nephorloges worden aangeboden. De commandocentra voor het botnet zijn volgens Damballa te vinden in Rusland, Frankrijk en de VS.

Conferentie

Damballa bracht het nieuws over de snelle groei van het Kraken-botnet naar buiten op de beveilligingsconferentie RSA 2008, die van 7 tot 11 april plaatsvindt in San Francisco. Vanaf 15 april zal het bedrijf een serie besmette IP-adressen publiceren en het publiek inzicht geven in de gegevens die Damballa tot nu toe heeft verzameld.

Overigens verkoopt het bedrijf anti-botnetsoftware waarmee Kraken al wel kan worden opgespoord. Het is daarom interessant om te zien hoe de andere securitybedrijven op het nieuwe botnet reageren. In februari schatte concurrent MessageLabs dat het aantal besmette computers niet meer dan 85.000 is.