De enige overgebleven upstream aanbieder van Atrivo, WVFiber, heeft inmiddels aangekondigd uiterlijk donderdag te stoppen met zijn dienstverlening aan het bedrijf. De andere belangrijke upstream-providers waren vorige week en afgelopen weekeinde al afgehaakt.

Ondertussen wordt er ook meer duidelijk over de cybercriminelen waarmee Atrivo zaken doet. Verreweg de belangrijkste partij is EstDomains, een domeinnaam-registrar met ruim 270.000 domeinen. Uit een steekproef van 10.000 van deze domeinen door het weblog Security Fix blijkt dat zeker een derde op de zwarte lijst van Surbl.org staat omdat de adressen zijn genoemd in spamberichten.

De sites die bij EstDomains zijn ondergebracht, worden onder meer gebruikt voor de verspreiding van malware en scareware. De bekende nep-virusscanners (XP Antivirus 2008) en de porno-codecs (codecs die je zogenaamd nodig zou hebben om porno te kijken maar in feite malware bevatten) worden vrijwel allemaal verspreid via domeinen die zijn geregistreerd bij EstDomains of een daaraan gelieerd bedrijf. Daarnaast zijn er zeker twee sites ondergebracht bij EstDomains die kinderporno te koop aanbieden, zo schrijft security-blogger Brian Krebs van Security Fix.

Gevangenisstraf

Krebs legt ook een verband tussen EstDomains en het vorig jaar verdwenen Russian Business Network (RBN), een beruchte host voor tal van cybercriminelen. Veel van de klanten van RBN lieten hun domein registreren via EstDomains.

Aan het hoofd van EstDomains staat de 27-jarige Vladimir Tsastsin. Tsastsin werd onlangs in Estland veroordeeld tot een gevangenisstraf van drie jaar wegens creditcardfraude, valsheid in geschrifte en witwassen. Tsastsin hoeft overigens niet meer de cel in. De rechtbank bepaalde dat het voorarrest (ruim een half jaar) voldoende was. Wel is een deel van Tsastsins eigendommen geconfisceerd: het geld dat hij op de bank had staan, zijn twee auto's en een computer.

In een verklaring tegenover Security Fix bagatelliseert Tsastsin de dubieuze handel en wandel van EstDomains. De mogelijke betrokkenheid bij de georganiseerde misdaad uit Rusland noemt hij 'onzin'. "We zijn niet betrokken bij activiteiten die het daglicht niet kunnen verdragen. Aangezien we duizenden domeinnamen hebben, is het bijna onmogelijk om ze allemaal in de gaten te houden." Tsastsin raadt aan om gebruik te maken van de abuse-mogelijkheid van EstDomains. Bron: Techworld