Het virus Dorifel mag zijn opgeruimd, de nasleep blijft veel bedrijven parten spelen. Via het botnet waardoor de malware werd verspreid, is allerlei informatie gestolen. Het NCSC waarschuwt nu dat ook clientcertificaten van besmette systemen zijn ontvreemd. Het is dus zaak deze opnieuw uit te rollen.

Gegevens weggesluisd

“De Citadel malware verzamelt lokaal opgeslagen inloggegevens", schrijft het centrum in een factsheet (PDF) die slachtoffers vertelt hoe ze moeten omgaan met Citadel. “Criminelen hebben via de Citadel malware volledig toegang tot het systeem. Dus moet je er vanuit gaan dat er nog meer informatie gestolen kan zijn", aldus de cybercrimebevechter.

Via het Citadel-botnet zijn browsergegevens, digitale wachtwoordkluizen en dus de clientcertificaten van systemen weggesluisd. Bedrijven die door Dorifel zijn geïnfecteerd hebben in ieder geval aan een Citadel-botnet gehangen, maar mogelijk zijn ook andere bedrijven onderdeel van een Citadel-botnet.

Vechten tegen de bierkaai

Ondertussen duiken er bijna elke dag nieuwe ip-adressen op van C&C-servers die het botnet beheren. Als een bedrijf het contact met deze server verbreekt, kan de malware in elk geval geen contact meer zoeken met die server. Maar het is nog lang niet duidelijk hoe effectief deze methode is.

“Ik durf niet aan te nemen dat we een volledig beeld hebben van welke adressen worden gebruikt", zegt Erik Remmelzwaal van beveiligingsbedrijf Medusoft. “Meerdere bots kunnen ook nog met elkaar gegevens uitwisselen over waar ze naartoe moeten verbinden."

“Het is lastig om zicht te krijgen op hoeveel ip-adressen de malware precies kan gebruiken", aldus Remmelzwaal. “Dat blijft een beetje vechten tegen de bierkaai. Maar als je hard genoeg vecht, kun je de zaak wel enigszins onder controle krijgen", zegt hij.