De cybercriminelen achter het gigantische botnet ZeroAccess zijn in één klap meer dan een kwart van hun totale populatie geïnfecteerde machines kwijtgeraakt. Onderzoekers van Symantec zijn er, dankzij het uitzetten van een zogenaamde sinkhole, in geslaagd bij 500.000 zombiecomputers het virus onschadelijk te maken.

Het Bitcoin-botnet ZeroAccess kent 1,9 miljoen deelnemende machines en wordt voornamelijk gebruikt om Bitcoins te minen en klikfraude plaats te laten vinden. Symantec schat dat ZeroAccess daarmee jaarlijks tientallen miljoenen euro’s ophaalt.

Ontworpen om niet te kunnen falen

De P2P-architectuur van ZeroAccess maakt dat iedere zombiecomputer op het netwerk bestanden, instructies en informatie kan doorgeven aan andere pc’s in het botnet. Het netwerk is zo ontworpen dat de ‘command and control’ (C&C) servers constant veranderen, waardoor het botnet veel lastiger is te ontmantelen dan botnets die werken met statische C&C-servers.

Eerder dit jaar ontdekten onderzoekers van Symantec een praktische manier om bots uit ZeroAccess te bevrijden door gebruik te maken van een ontwerpfout in het P2P-mechanisme dat de criminelen hanteren. Daardoor kon een sinkhole gecreëerd worden die uiteindelijk 500.000 machines wist lost te koppelen. “Het duurde uiteindelijk gemiddeld vijf minuten aan P2P-activiteit voordat een ZeroAccess botnet in de sinkhole belandde”, schrijft Symantec in een begeleidende blogpost.

Botnets zweven in limbo

“Deze acties laten zien dat ondanks de bestendige P2P-architectuur van het ZeroAccess botnet, we er toch in zijn geslaagd een groot deel los te weken via een sinkhole. Deze bots kunnen niet langer commando’s ontvangen van de botmaster en zijn praktisch onklaar gemaakt voor het verder verspreiden van commando’s of het genereren van omzet.”

De sinkhole van Symantec wist niet het gehele netwerk onklaar te maken omdat de criminelen achter ZeroAccess in juni hun malware updaten om de P2P-kwetsbaarheden weg te nemen. Machines die geïnfecteerd zijn geraakt met de nieuwe versie blijven onder commando staan van de botmaster en dat zijn er inmiddels vele miljoenen.

ZeroAccess is niet het eerste botnet dat dit jaar door een sinkhole om de tuin geleid werd. Eerder dit jaar wisten Microsoft en de FBI het beruchte Citadel-netwerk een zware klap toe te brengen door een sinkhole-aanval uit te voeren. Citadel infecteerde miljoenen pc’s en heeft naar schatting bijna een half miljard euro buitgemaakt via internetbankierfraude.