Microsoft laat zich weer gelden als botnetbestrijder. Samen met Symantec, die het Bamital-netwerk al jaren op de korrel heeft, heeft het met een gerechtelijk bevel in de hand een inval gedaan in twee datacenters in de VS.

Gehost bij Leaseweb

Er werd bewijs vergaard bij hosting partijen in New Jersey en Virginia, meldt Microsoft. Het botnet werd bestuurd vanaf vier IP-adressen, de command & control (c&c) servers: drie ervan werden tot voor kort gehost door Leaseweb in Haarlem, die een dependance heeft in Virginia.

“We hebben op verzoek van Microsoft 3 ip-adressen afgesloten, in Nederland trouwens. US was verder niet betrokken", meldt Alex de Joode, security officer bij Leaseweb aan Webwereld. Leaseweb werden gevraagd dat op een bepaald tijdstip de IP-adressen te blokkeren in verband met wereldwijde coördinatie van de actie.

In tweede instantie meldt De Joode dat de drie IP's op het moment van de actie al niet meer in gebruik waren. "Één was nog wel toegewezen aan een klant maar deze server was per 1 februari opgezegd. We hebben er voor gezorgd dat deze server niet meer door de klant uit quarantaine gehaald kan worden."

Omgeleid naar valse sites

Ten tijde van het neerhalen van het botnet waren er tussen de 300.000 en 600.000 pc's onder de controle van de cybercriminelen. Volgens Microsoft waren de afgelopen jaren in totaal z'n 8 miljoen computers gevangen in Bamital.

Bamital installeert malware die de gebruiker tijdens het surfen, specifiek na een zoekactie bij Google, Yahoo of Bing, omleid naar een valse website. Hier wordt of meer malware geïnjecteerd, of de site staat vol met advertenties. De inkomsten uit deze klikfraude deelt de webmaster met de beheerder van het botnet.

Microsoft omstreden botnetvechter

Het is de zesde keer dat Microsoft op deze wijze in actie komt tegen een botnet. Eerder werden Waledac, Rustock, Kelihos en Zeus aangepakt. Zeus werd echter niet onthoofd, maar slechts tijdelijk verminkt, wat leidde tot felle kritiek op Microsoft van onder meer Fox-IT.

UPDATE: Toegevoegd: Leaseweb meldt in tweede instantie dat de drie IP-adressen op haar netwerk op het moment van de actie woensdag al niet meer in gebruik waren. Leaseweb heeft de IP's geblokkeerd zodat die niet weer actief kunnen worden.

Filmpje van Symantec over Bamital-botnet: