Inbreken op andermans account, nepwebsites verspreiden, hinderlijke of gevaarlijke spamberichten verspreiden, mensen persoonsgegevens ontfutselen, miljoenen apparaten infecteren met malware, hele delen van het internet vergrendelen... hackers kunnen een hoop ellende aanrichten.

Dit alles (en nog veel meer) was zo goed als onmogelijk zonder een van de gevaarlijkste maar ook meest gebruikte tools uit de arsenaal van de hacker: het botnet.

Wat is een botnet?

Simpel gezegd is een botnet een netwerk van geïnfecteerde computers, die onder leiding van één hoofdcomputer samenwerken om een specifiek doel te bereiken. Dat lijkt misschien simpel en onschuldig, maar het is de drijvende kracht achter enkele van de ergste aanvallen waartoe hackers in staat zijn.

Voor een botnet zijn twee dingen nodig: ten eerste een groot netwerk van geïnfecteerde apparaten, de zogenaamde "zombies", die het zware werk verrichten om het plan van de hacker uit te voeren. Ten tweede moet iemand het netwerk opdracht geven om iets te doen, degene die het commandocentrum bemant en die de beheerder of "bot herder" wordt genoemd (maar vreemd genoeg niet de "tovenaar"). Zodra aan deze voorwaarden is voldaan, is het botnet klaar om zijn schadelijke werk te doen.

De eenvoudigste botnetten bestaan uit grootschalige netwerken van "zombiecomputers" die één hoofdcomputer gehoorzamen

De term "botnet", samengesteld uit "robot" en 'netwerk’, werd in 2001 gemunt door EarthLink Inc. tijdens een rechtszaak tegen Khan C. Smith, een man uit Tennessee die 3 miljoen dollar binnenharkte met het grootste spamnetwerk dat tot op dat moment was ontdekt. Het plan pakte niet goed uit voor dhr. Smith, die de rechtszaak verloor en 25 miljoen dollar moest betalen aan EarthLink, waarmee hij dus een verlies leed van 22 miljoen dollar. Geen groot zakelijk genie dus, maar het toonde wel aan hoe gevaarlijk deze wonderlijke technologie kon zijn.

Botnetten zijn vaak erg groot en maken op twee manieren slachtoffers: door uw computer rechtstreeks aan te vallen of door apparaten over te nemen, zodat ze zelf deel gaan uitmaken van een wereldwijd hackersnetwerk. We komen daar later op terug.

Hoe werken botnetten? Twee modellen, één doel

Een gedetailleerde beschrijving van de werking van botnetten valt buiten het bestek van dit artikel en is gelukkig ook niet zo belangrijk. Een globaal begrip van wat een dergelijke dreiging inhoudt, is voldoende om u een beeld te vormen van de omvang en het gevaar ervan voor iedereen die internet gebruikt.

Wie computers met elkaar kan laten samenwerken, kan daar een aardige boterham mee verdienen. Dat is niet zo gek. Het opzetten van een efficiënte netwerkstructuur is net zo belangrijk als het beheren ervan. Een botnet kan op twee manieren worden ingericht: via het client-servermodel en via het peer-to-peermodel.

Het client-servermodel

Diagram van een botnet op basis van het client-servermodel

Het client-servermodel gaat op de ouderwetse manier te werk: "zombies" ontvangen hun instructies van één locatie, meestal een website of een gedeelde server. Dat volstond in de begintijd, maar het had één nadeel: het botnet was eenvoudig uit te schakelen. Je hoefde alleen maar de website of server uit te schakelen en het hele systeem stortte in elkaar.

Het peer-to-peermodel.

Diagram van een botnet op basis van het peer-to-peermodel

Het peer-to-peermodel omzeilt de achilleshiel van het client-servermodel. In dit systeem communiceert elke geïnfecteerde machine rechtstreeks met een paar andere in het netwerk. Die zijn weer verbonden met andere machines in het netwerk, en die weer met nog meer machines, zodat er een enorm systeem van verbonden computers ontstaat. Zodoende is het geen probleem als er een paar apparaten uitvallen: andere apparaten nemen hun taak over.

In beide gevallen is het van groot belang dat alleen de beheerder het netwerk kan aansturen. Om ervoor te zorgen dat alleen opdrachten van de hacker (of degene aan wie hij of zij het botnet heeft verkocht) worden verspreid door het netwerk, wordt een digitale "handtekening" (een speciale code) gebruikt.

De infectie verspreiden: hoe botnetten tot stand komen

Een netwerk opzetten is één ding, maar hoe krijg je een apparaat zover dat het zich bij het netwerk "aansluit"? Daarvoor wordt een Trojaans paard gebruikt, iets wat u misschien bekend voorkomt.

Een Trojaans paard is een stukje malware waarmee wordt geprobeerd een computer binnen te dringen door net te doen alsof het iets veel onschuldigers is... (zoals destijds het Paard van Troje). Trojaanse paarden reizen vaak mee met phishing e-mail, maar kunnen ook deel uitmaken van illegale software en zelfs worden afgeleverd via malvertising-aanvallen. Hoe ze op uw pc terechtkomen doet er nu even niet toe. Het gaat erom wat ze doen wanneer ze daar eenmaal zijn.

Botnetten worden meestal tot stand gebracht via Trojaanse paarden

Zodra een Trojaans paard op de computer is gearriveerd, zet het een "achterdeurtje" open dat hackers toegang geeft tot bepaalde aspecten van de pc of een ander met het netwerk verbonden apparaat en hen in staat stelt deze te besturen. Doorgaans geven Trojaanse paarden hackers maar weinig bevoegdheden, maar dat is genoeg om ernstige problemen te veroorzaken, bijvoorbeeld om een effectief botnet te beheren. Gelukkig kunnen Trojaanse paarden zich doorgaans niet voortplanten en proberen ze zich niet te verspreiden (al zijn er uitzonderingen). Helaas kan een Trojaans paard een sluimerend bestaan op de computer leiden en onopgemerkt blijven totdat de hacker besluit het te gebruiken.

Wanneer er genoeg computers met zulke ingebouwde achterdeurtjes voorhanden zijn, combineert de hacker ze tot een netwerk: het botnet.

Waarvoor kan een botnet worden gebruikt?

Botnetten mogen dan complex zijn, je kunt er maar twee dingen mee doen: snel iets versturen of alle computers op hetzelfde moment hetzelfde laten doen. Maar wie creatief genoeg is, kan ook met een simpele tool verbluffend veel schade aanrichten.

Let them eat spam

Zoals u hierboven hebt kunnen lezen, waren de eerste bots ontworpen om phishing- en spamaanvallen uit te voeren. Het is betrekkelijk eenvoudig om een spambericht op te stellen en dit naar iedereen op uw contactenlijst te versturen. Veel zal dit echter niet opleveren, hooguit een hoop ergernis. Wat beter werkt: gebruik miljoenen computers om zoveel mogelijk spam te versturen naar zoveel mogelijk geadresseerden. Op die manier wordt spam snel verspreid en maakt u zoveel mogelijk slachtoffers. En dat is nou net waar botnetten goed in zijn. Phishing werkt op een vergelijkbare manier, maar "spear phishing" dan weer niet. In dat geval heeft een botnet weinig nut.

Miljoenen doelwitten

Stel, u hebt jaren gezwoegd om het perfecte virus te maken. Neemt u dan genoegen met een of twee ontvangers? Natuurlijk niet! U wilt uw meesterwerk met de hele wereld delen! Zoals spam tot doel heeft zoveel mogelijk mensen te bereiken, zo is malware "op z'n best" als het zijn slachtoffers snel en hard raakt.

Malware is niet lang houdbaar: één stukje malware gaat meestal maar een uur of wat mee. Daarna worden de virusdefinities van de antivirussoftware bijgewerkt en is het uit met de pret. Malware is alleen succesvol als het zo snel mogelijk zoveel mogelijk computers, telefoons of andere met het netwerk verbonden apparaten infecteert. Vervolgens moet het zich óf schuilhouden om virusscans te ontlopen óf de beoogde schade aanrichten voordat de antivirussoftware de boosdoener ontdekt en naar de viruskluis stuurt.

Botnetten stellen virussen in die korte tijd in staat zoveel mogelijk mensen te bereiken, vooral wanneer apparaten via e-mail of een open netwerk worden geïnfecteerd.

Toegang geweigerd: DDoS-aanvallen

Ooit wel eens tevergeefs geprobeerd toegang te krijgen tot een website? Of als u wel toegang kreeg, was de website zo traag dat hij praktisch onbruikbaar was? Vaak is de schuldige een DDoS-aanval. Dit onderwerp verdient een eigen artikel. Het komt er in het kort op neer dat bij een DDoS-aanval zoveel "zombies" op een website worden losgelaten dat hij niet meer vooruit te branden is en anderen er nauwelijks in slagen om toegang tot de website te krijgen.

Hackers kunnen websites om tal van redenen bestoken met een DDoS-aanval. Financieel gewin is er niet mee te behalen (behalve misschien via afpersing, maar dat werkt zelden), dus doorgaans is het een vorm van protest of doen ze het "voor de lol". Wat het motief ook mag zijn, het werkt alleen als de aanvaller over heel veel computers beschikt die op hetzelfde moment contact proberen te maken met de site. Daarvoor is een botnet uitermate geschikt.

Wachtwoordloterij

Elegante manieren om een computer te hacken zijn zeldzaam. Ervan uitgaand dat u geen bekend wachtwoord hebt hergebruikt en niet zo onnozel bent geweest een van de 100 meeste gebruikte wachtwoorden te kiezen, maken hackers die uw account willen binnendringen meestal gebruik van brute rekenkracht (een "brute force attack").

Kort gezegd probeert de aanvaller bij een dergelijke aanval alle mogelijke combinaties van woorden, zinsneden, letters en speciale symbolen uit, totdat het juiste wachtwoord er bij toeval uitrolt. Wanneer er specifieke woorden of woordvarianten worden gebruikt, spreken we van een "dictionary attack" (woordenboekaanval). Dit type aanval wordt het meest gebruikt om wachtwoorden te kraken.


Het lastige voor hackers is dat de meeste websites maar een beperkt aantal aanmeldingspogingen per computer of IP-adres toelaten. Het valt niet mee om met brute kracht de toegang te forceren als je maar vijf keer mag proberen. Een botnet biedt in dat geval uitkomst: je laat elke computer in het netwerk zich aanmelden totdat verdere pogingen worden geblokkeerd. Wie over genoeg computers en genoeg tijd beschikt, kan vrijwel elk wachtwoord kraken.

Als uw wachtwoord gestolen is en op het dark web staat, is het voor hackers alleen maar makkelijker. Hoewel vrijwel elk wachtwoord dat van websites of organisaties wordt gestolen, versleuteld is, kunnen hackers nog steeds met brute kracht proberen te achterhalen wat het is. Alleen hoeven ze nu niet bang te zijn dat ze worden buitengesloten.

Met behulp van een speciaal programma, een zogenaamde wachtwoordkraker, proberen ze zoveel mogelijk combinaties van tekens en letters uit en passen hierop hetzelfde versleutelingsproces toe als voor de gehackte database is gebruikt. Zo vogelen ze uit wat elke versleutelde regel precies betekent. Als ze de taak zo opdelen dat elke computer andere woorden en combinaties uitprobeert, kan zelfs een redelijk goed wachtwoord in een paar minuten worden gekraakt.

Gelukkig kan het kraken van een echt goed wachtwoord (en dat is heus niet zo moeilijk te genereren als u denkt) wel miljoenen jaren duren, zelfs voor een botnet. In dit artikel kunt u lezen hoe u sterke wachtwoorden instelt.

24 uur per dag en 7 dagen in de week cryptovaluta's delven

Botnetten worden niet alleen gebruikt om mensen aan te vallen. Steeds vaker spannen hackers botnetten voor hun karretje om de bijbehorende "zombies" bitcoin of andere onlinevaluta's te laten delven. Dit type malware heet een cryptovaluta-miner, en hoewel hier niemand het doelwit is, zijn er toch slachtoffers: de eigenaars van de computers die het werk doen. Die computers worden daar namelijk verschrikkelijk traag van. Het leidt bovendien tot hoge elektriciteitsrekeningen en zorgt ervoor dat de computer sneller slijt.

En er is wel degelijke sprake van een groeiende trend. Vorig jaar alleen al werden 1,65 miljoen computers gekaapt om cryptovaluta's te mijnen voor hackers en dat aantal neemt gestaag toe: in vergelijking met 2017 is het aantal gevallen van "cryptojacking" gegroeid met maar liefst 8500%! Deze vorm van internetcriminaliteit dankt zijn populariteit aan de lage toegangsdrempel en aan het feit dat pc-eigenaren er betrekkelijk weinig last van hebben. Het maakt de meeste mensen weinig uit als hun computer af en toe een beetje trager is. Daardoor kan het virus maandenlang onopgemerkt blijven.

Wat er gebeurt als uw pc onderdeel is van een botnet: 5 redenen waarom u geen zombie wilt worden

Volgens de voodoo is een zombie een menselijk wezen dat uit de dood is teruggekeerd, maar geen eigen wil of spraakvermogen meer heeft. Een computerzombie gehoorzaamt aan de wil van een kwaadwillige vreemdeling en dat is geen pretje.

Welkom op de rechterrijstrook

Computers kunnen niet toveren. (Een zin om in te lijsten!) Wanneer uw computer druk bezig is met de ene taak, heeft hij niet genoeg verwerkingskracht over voor andere dingen. Als u bijvoorbeeld een film streamt, kan het gebeuren dat de computer traag wordt. U kunt dan de snelheid en kwaliteit verhogen door andere programma's af te sluiten die tegelijkertijd actief zijn. Makkelijk zat.

Botnetten misbruiken de systeembronnen van uw computer voor eigen gewin en kunnen de computer traag maken

Als uw computer eenmaal een zombie is, luistert hij niet meer naar u. En dat is een probleem, want als de persoon die het botnet runt, besluit dat uw computer zoveel mogelijk spam moet uitsturen, kunt u daar niets tegen doen. U merkt het waarschijnlijk niet eens, alleen wordt uw computer ineens een stuk langzamer dan normaal. Dat is probleem nummer één bij een botnetinfectie (en het meest in het oog springende symptoom): het botnet soupeert alle systeembronnen op die u nodig hebt om iets te doen wat hopelijk minder illegaal is.

Dit heet trouwens "scrumping". Dit Engelse woord werd ooit gebruikt voor het verzamelen van de overgebleven appels in andermans boomgaard, maar nu betekent het dus dit. Om wat voor reden dan ook.

Een gevalletje gestolen identiteit

Hackers sturen hun spamberichten altijd naar zoveel mogelijk mensen, dus niet alleen naar vreemden, maar ook naar al uw contactpersonen. Daarbij maken ze misbruik van uw e-mailaccount, want met een persoonlijke account kunnen ze antispamfunctionaliteit omzeilen. Dus als u deel uitmaakt van een botnet, is dit een belangrijke aanwijzing. Al wordt hieruit soms de onjuiste (maar niet onlogische) conclusie getrokken dat uw account is gehackt in plaats van uw pc. Gelukkig zijn er meer tekenen waarop u kunt letten als u wilt weten wat het probleem is.

Torenhoge elektriciteitsrekeningen

Iedereen moet rekeningen betalen en als u kostwinner bent, hebt u in elk geval één goede reden om te voorkomen dat uw pc in een botnet terechtkomt: uw elektriciteitsrekening. Wanneer de beheerder zijn horde zombies ergens voor nodig heeft, maakt het niets uit of uw computer uitgeschakeld is. Zodra hij nodig is voor een campagne, wordt de computer weer ingeschakeld. Dat is vervelend, maar het is in elk geval een sterke aanwijzing dat uw pc aangetast is. Er is echter één probleem...

Ontwapenender dan het Verdrag van Versailles

Wanneer uw computer onderdeel is van een botnet, wil de hacker natuurlijk liever niet dat u het botnet verlaat. Dus meestal belet de software die uw computer ronselde ook dat u een antivirusprogramma downloadt of uitvoert. Niet alleen kunt u de malware daardoor niet verwijderen, het maakt u ook kwetsbaar voor andere, net zo slechte malware op internet.

U snapt wel waarom dat ongewenst is.

Een makkelijk doelwit worden

Hackers gaan graag zo efficiënt mogelijk te werk, dus denk niet dat u immuun bent voor hun plannen omdat u technisch gesproken voor hen werkt. U krijgt van hen dezelfde spamberichten, adware, en pop-upberichten als ze anderen sturen, niet alleen omdat u een goede bron van inkomsten bent, maar ook omdat ze weten dat u lang niet zo goed beschermd ben als de rest. U kunt hackers van veel beschuldigen, maar spilziek zijn ze niet.

De grootste hits

De nog korte geschiedenis van internet telt aardig wat beruchte botnetten. Hier volgen er een paar:

GAmeover ZeuS – Erger dan zijn eigen grammatica

Hackers en correct taalgebruik, dat gaat niet samen.

Maar ter zake. GAmeover ZeuS was een peer-to-peerbotnet dat was gemodelleerd naar oudere malware die ZeuS Trojan heette. Geen slechte erflater, want ZeuS Trojan infecteerde meer dan 3,6 miljoen apparaten en was het voorwerp van een internationaal onderzoek door de FBI dat heeft geleid tot de arrestatie van zo'n 100 personen, verspreid over de hele wereld. Helaas deed GAmeover ZeuS zijn voorganger eer aan. Het maakte gebruik van een speciaal versleuteld netwerk dat het de wetshandhavers vrijwel onmogelijk maakte om het te traceren. Het op Windows gebaseerde botnet hield stevig huis als belangrijkste distributiekanaal voor de ransomware Cryptolocker en een reeks bankfraudes.

Het GAmeover ZeuS-botnet

In 2014 lukte het Operatie Tovar, een internationaal samenwerkingsverband van opsporingsdiensten uit de hele wereld, om de malware te verstoren en de communicatie van de hackers twee weken lang te belemmeren. Toen de hackers een kopie wilden maken van hun database, wist Operatie Tovar die te onderscheppen. In de database ontdekten ze de ontsleutelingscode voor Cryptolocker. Daarmee was het botnet feitelijk onschadelijk gemaakt. Daarnaast ontdekten ze de identiteit van de leider van de bende, de vermoedelijke Russische cybercrimineel Jevgeniy Michaïlovitsj Bogatsjev.

Het jaar daarop loofde de FBI een beloning van drie miljoen dollar uit voor iedereen die hen kon helpen om de man te vinden en te arresteren. Maar afgezien daarvan was het "game over" voor GAmeover. Toch hadden de criminelen hun zin gekregen. Ongeveer 1,3 % van de slachtoffers van Cryptolocker betaalde het losgeld, zodat de criminelen er met een bedrag van drie miljoen dollar vandoor gingen.

En dankzij dat succes houden zich op internet nog steeds varianten van de oorspronkelijke GAmeover ZeuS-malware schuil, geduldig wachtend op het juiste moment om toe te slaan...

Mirai – de toekomst van het botnet

Malware die is genoemd naar een anime (Japanse animatiefilm) over kinderen die tijdreisdagboeken gebruiken om elkaar te vermoorden en God te worden, dat moet wel iets heel bijzonders zijn.

Mirai, dat in 2016 werd ontdekt door computerbeveiligingsspecialisten van MalwareMustDie, is een botnet dat is ontworpen om Linux-systemen aan te vallen en dat is gebruikt voor een van de grootste DDoS-aanvallen van het decennium. Wat Mirai bijzonder maakte was de agressiviteit waarmee het zich verspreidde. Zodra het zich op een apparaat had genesteld, scande het doorlopend naar andere IoT-apparaten die konden worden opgenomen in het netwerk. Zodra het er een had gevonden, probeerde Mirai met behulp van een interne database van standaardgebruikersnamen en -wachtwoorden in te breken op het apparaat en zodra dat was gelukt, ging het weer op zoek naar nieuwe slachtoffers.

Met Mirai zijn aanvallen uitgevoerd op GitHub, Twitter, Reddit, Netflix, Airbnb en de internetinfrastructuur van Liberia

Op het hoogtepunt werd het botnet gebruikt in een groot aantal DDoS-aanvallen, te veel op te noemen. Op de lijst van slachtoffers staan onder andere GitHub, Twitter, Reddit, Netflix, Airbnb, Rutgers University en de volledige internetinfrastructuur van het Afrikaanse land Liberia. Toen het eenmaal was ontdekt en geanalyseerd door de mensen van MalwareMustDie, duurde het niet lang voordat de apparaten waren bijgewerkt en de malware nutteloos werd. Niettemin was Mirai bijna twee jaar lang actief voordat er een eind aan werd gemaakt. Daarmee was het een van de meest succesvolle botnetten ter wereld.

Overigens was Mirai een van de minst schadelijke botnetten ooit, hoe groot en agressief het verder ook was. Niet alleen werden bepaalde apparaten ontzien (zoals apparatuur van het leger en de posterijen), het verwijderde ook andere malware die al op het systeem stond en maakte het apparaat immuun tegen toekomstige infecties. Het gebruikte de overgenomen apparaten alleen om af en toe een DDoS-aanval uit te voeren. Voor zover bekend probeerde het niet om verdere schade te veroorzaken op de apparaten die het controleerde, wat waarschijnlijk de reden is waarom het botnet zo lang ongestoord zijn gang kon gaan.

Het is de moeite waard om te vermelden dat de vermoedelijke makers, Paras Jha, Josiah White en Dalton Norman, schuld bekenden toen ze werden beschuldigd van het vervaardigen van malware. Uiteindelijk liepen de slechteriken dus tegen de lamp.

...nog een grappig feitje: ze werkten onder het pseudoniem Anna-senpai, naar Anna Nishikinomiya, een personage in een anime uit 2015 over een tienermeisje dat panty's op haar hoofd draagt en pornografische pamfletten verspreid als terroristische actie in een wereld waar denken aan seks illegaal is.

Anime is raar...

ZeroAccess – een slechte naam voor slechte malware

Ondanks de naam nam ZeroAccess geen deel aan DDoS-aanvallen, alweer een bewijs dat hackers bij het bedenken van een naam voor hun malware beter een copywriter kunnen inschakelen.

Maar hoewel je over de naam kunt discussiëren, bestaat er geen twijfel aan de effectiviteit – en de dreiging – van dit botnet. De ZeroAccess-rootkit, de voornaamste methode die de malware gebruikte om Windows-machines te dwingen zich bij het botnet aan te sluiten, verspreidde zich agressief via social engineering- en adware-aanvallen. Uiteindelijk raakten zo ongeveer 9 miljoen systemen geïnfecteerd. Het botnet zelf stond op één tot twee miljoen machines: een beheersbaar aantal met ongeveer 8 miljoen computers aan de zijlijn voor het geval een systeem het netwerk zou verlaten.

De makers van het ZeroAccess-botnet maakten naar schatting 38 miljoen dollar buit

Het botnet waarvan de geïnfecteerde machines deel uitmaakten, was één enorm geldmachine. Op elk apparaat werd begonnen met het delven van bitcoins en elke onlineadvertentie werd vervangen door een advertentie van de malware, waarmee inkomsten werden gegenereerd voor de hackers in plaats van voor de website waarop de malware werd gehost. Deze twee activiteiten bleken enorm winstgevend voor de hackers. Er zijn geen exacte cijfers bekend, maar de hackers verdienden op die manier mogelijk tot wel 38 miljoen dollar, al zal het werkelijke bedrag waarschijnlijk aanzienlijk lager hebben gelegen.

Computers in een botnet die bitcoins delven

In december 2013 probeerde een coalitie onder leiding van Microsoft het netwerk te ontmantelen. Voor een tijdje lukte dat. Maar omdat ze er niet in slaagden alle commandocentra in handen te krijgen, kon het netwerk opnieuw worden opgebouwd. Toch was de ontdekking belangrijk, want het bleek dat antivirussoftware bescherming kon bieden tegen een rootkit, en hoewel het netwerk nog steeds bestaat, is het nu veel minder groot en gevaarlijk.

In sommige opzichten gaat de naam dus nog steeds op... het botnet heeft nu immers "zero" toegang tot beschermde computers! Die zit! Net goed voor dat stuk dooie software! Lekker puh!

Backdoor.Flashback – Niemand is veilig

Mocht u met uw Macbook denken dat u veilig bent en lacht u om die door malware geteisterde Windows- en Linux-apparaten, dan hebben we een onaangename verrassing voor... Het Trojaanse paard Backdoor.Flashback infecteerde in 2011 en 2012 meer dan 600.000 Macs. Al die Mac-bezitters die onvoorbereid waren omdat ze meenden dat hun apparaat immuun was voor aanvallen, zaten ineens zwaar in de nesten. (Gebruikt u een Mac? Raadpleeg dan onze ultieme beveiligingsgids voor de Mac).

Dit Trojaanse paard infecteerde computers via een kwetsbaarheid in Java en stuurde ze daarna door naar een nepwebsite. Vervolgens werd een hoeveelheid malware gedownload die de Mac omtoverde tot een gehoorzame zombie, naast andere vervelende malware die persoonsgegevens stal en de computer vertraagde.

Gelukkig heeft het botnet zelf nooit iets kunnen uitrichten, voor zover we weten. Hoewel de andere gedownloade malware wel degelijk schade aanrichtte, heeft het peer-to-peernetwerk dat Backdoor.Flashback tot stand bracht, kennelijk nooit de opdracht gekregen om iets anders te doen dan zichzelf verspreiden. Dat duurde voort totdat het begin 2012 door Dr. Web werd ontdekt en "weggepatcht".

Waarschijnlijk waren 600.000 computers niet voldoende om het botnet effectief te gebruiken en wachtten de hackers totdat het aantal voldoende was gestegen om het te gebruiken en zich bloot te geven. Maar dat is giswerk: in tegenstelling tot de meeste malware op deze lijst is Backdoor.Flashback zo dood als een pier en zullen we hoogstwaarschijnlijk het nooit meer zien...

Zeg maar dag tegen botnetten

Hoe groter iets is, des te meer zwakke plekken het heeft. Dat geldt niet alleen voor de "boss" in een videogame, maar ook voor botnetten. Maar terwijl het voor organisaties of regeringen een enorm lastige en tijdrovende klus is om een heel botnet onschadelijk te maken en uit de weg te ruimen, zijn de maatregelen die u moet nemen om u te beschermen tegen een botnet (zodat u er geen deel van uit gaat maken én er niet het slachtoffer van wordt) tamelijk simpel.

Botnetten en u – hoe u voorkomt dat u een zombie wordt

Hoe groot en complex botnetten ook zijn, u beschermt zich er op dezelfde manier tegen als tegen andere malware.

  • Download niets wat u niet volledig vertrouwt
  • Klik niet op online advertenties
  • Trap niet in phishing-mail
  • En rust uw computer uit met krachtige antivirussoftware, zoals AVG AntiVirus FREE.

AVG AntiVirus FREE downloaden

 

Wanneer u al deze voor de hand liggende maatregelen neemt, zult u nooit onderdeel van een botnet worden of slachtoffer worden van een door een botnet georganiseerde aanval.

Uw pc maakt deel uit van een botnet. Wat nu?

Het wordt lastiger als uw pc onderdeel is van een botnet, want het doorsnee Trojaanse paard of de doorsnee rootkit kan zich verdraaid goed voor antivirussoftware verbergen. Als uw pc alle symptomen vertoont van een "zombie", maar uw antivirusprogramma niets bijzonders ziet (of helemaal niet werkt) heeft u twee keuzes:

  • De fabrieksinstellingen van uw computer terugzetten (waarmee u niet alleen van het botnet af bent, maar ook van alles wat er verder nog op uw computer stond).
  • Een opstartscan uitvoeren. Bij opstartscans wordt diepgewortelde malware onderschept door het systeem te scannen voordat het besturingssysteem wordt gestart. Op die manier kan de malware zich nergens verbergen en de scanbewerking niet stoppen.

Het laatste verdient natuurlijk de voorkeur, en met de Opstartscan van AVG hoeft u als het goed is niets terug te zetten.

Maar goed, ik zou er niet al te lang bij stilstaan. De gemiddelde botnetinfectie heeft een levensduur waarmee zelfs een huisvlieg medelijden zou hebben: 58% van de infecties duurt minder dan één dag en maar 0,9% langer dan een week. Maak er dus geen drama van...

Een ander apparaat maakt deel uit van een botnet. Wat nu?

Het ligt anders als een van uw IoT-apparaten is geïnfecteerd: er is immers nog niet veel antivirussoftware beschikbaar voor koelkasten. Maar ook in dat geval is er een eenvoudige oplossing voorhanden: zodra u hebt vastgesteld dat het apparaat is geïnfecteerd (traagheid is vaak de enige aanwijzing), start u het opnieuw op en verandert u snel het wachtwoord. Telkens wanneer een apparaat wordt uitgeschakeld, moet de malware het opnieuw infecteren. Dus als u de toegangsreferenties snel genoeg wijzigt, heeft de malware geen kans.

Helaas helpt dit niet bij de nieuwste malware-dreiging, Hide n’ Seek. Hier komen we nog op terug.

Uw kleine bedrijf wordt ge-DDoS't door een botnet. Wat nu?

Als u eigenaar bent van een klein of middelgroot bedrijf, maakt u zich terecht zorgen over DDoS-aanvallen. Hoewel het niet erg waarschijnlijk is dat u persoonlijk het doelwit wordt (hoewel dat zou kunnen gebeuren als u de woede wekt van de meute op internet), kan de server waarop uw website draait wel worden aangevallen. In dat geval bent u mogelijk offline voor zolang de aanval duurt. Als u geen eigen server hebt, kunt u daar... helemaal niets aan doen.

Hebt u wel een eigen server, dan moet u alert zijn op een plotse, ongebruikelijke stijging van de activiteiten. Als u dan snel bent, kunt u de geïnfecteerde computers blokkeren om te voorkomen dat ze uw bandbreedte overnemen. Mocht dat mislukken, dan kunt u altijd elders tijdelijk bandbreedte huren of uw site ergens anders hosten, hoewel dit vrij kostbare opties zijn.

Werkt u bij een van de grote internationale IT-bedrijven en krijgt u dit toevallig onder ogen, maak u dan geen zorgen. Grote bedrijven hebben niets te vrezen van DDoS-aanvallen: als u werkelijk zo groot bent als u denkt, kunt u de miljoenen computers die uw servers op hetzelfde moment "pingen" wel aan.

Het botnet verslaan

De doorsneeconsument heeft doorgaans niets te maken met het oprollen van botnetten. Maar voor de wetshandhavers die zich van die taak moeten kwijten, is er maar één redelijke manier om de draak te verslaan: zijn kop erafhakken. Of, even afgezien van deze beeldspraak, het commandocentrum opdoeken, hetzij door de computer op te sporen die die functie vervult en die onschadelijk te maken, hetzij door te voorkomen dat de hackers daar toegang toe hebben.

Bij het client-servermodel is dat tamelijk eenvoudig: er is maar één computer die is verbonden met elk geïnfecteerd apparaat, dus die is simpel op te sporen en af te snijden van de andere apparaten. Vandaar dat hackers zijn overgestapt op het peer-to-peermodel, waarbij elk apparaat in het netwerk in theorie kan optreden als beheerder. U kunt dus niet volstaan met het afhakken van één kop: u moet elke beheerder opsporen en uit het systeem verwijderen, anders kan het netwerk worden gerepareerd.

Tot slot

Zombies zijn leuk in videogames en horrorfilms, maar een trage, sukkelende computer die niet meer naar u luistert, is dat allerminst. Maar wat hackers ook allemaal kunnen doen met een botnet, het is een hele geruststelling om te weten dat hun belangrijkste instrument zo makkelijk gedwarsboomd kan worden: met een goed antivirusprogramma zoals AVG AntiVirus FREE en een beetje gezond verstand kan iedereen black-hat hackers over de hele wereld onschadelijk maken.

AVG AntiVirus FREE downloaden

 

En dat brengt ons bij het laatste goede nieuwtje in dit artikel: dat doen wij ook! Op het moment van schrijven loopt het aantal actieve botnetten en geïnfecteerde apparaten over de hele wereld terug. Dus als we maar stug doorgaan op de ingeslagen koers, met goede onlinegewoonten en krachtige antivirussoftware, kunnen we botnetten misschien voor eens en voor altijd elimineren.

Veiligheid voorop!

AVG AntiVirus FREE GRATIS downloaden