Microsoft bestrijdt een Russische cybercrimegroepering door domeinnamen die de groep gebruikt om malware aan te sturen via de rechter op te eisen. Inmiddels zou Microsoft al zo’n zeventig domeinnamen van Command and Control (C&C)-servers hebben overgenomen.
Dit meldt The Daily Beast. C&C-servers zijn servers waarmee cybercriminelen malware op systemen van slachtoffers kunnen aansturen. De servers worden onder andere gebruikt om Distributed Denial of Service (DDoS)-aanvallen op te zetten, waarbij een groot aantal met malware besmette systemen een enorme hoeveelheid verzoeken sturen naar een specifieke server. Deze server wordt hierdoor overspoeld en kan legitieme verzoeken van legitieme gebruikers niet meer verwerken, wat ertoe leidt dat de server onbereikbaar wordt.
Fancy Bear
De domeinnamen in kwestie zijn volgens The Daily Beast gebruikt worden door de cybercrimegroepering Fancy Bear, die door cyberexperts in verband wordt gebracht met Rusland. Door de domeinnamen over te nemen wil Microsoft de groep tegenwerken en zorgen dat zij een deel van de systemen die met hun malware zijn besmet niet meer kunnen bereiken.
De zeventig overgenomen domeinnamen maken allen inbreuk op de merknamen van Microsoft. Denk hierbij aan domeinnamen als livemicrosoft.net en rsshotmail.com. De domeinnamen verwijzen nu door naar de eigen website van Microsoft. Dit stelt het bedrijf in staat verkeer naar de C&C-servers te detecteren en hierdoor slachtoffers van Fancy Bear op te sporen. Deze worden via hun internetprovider gewaarschuwd.
Permanente oplossing
Microsoft heeft vrijdag in een hoorzitting gevraagd een permanente toezichthouder aan te stellen die inbreukmakende domeinen in korte tijd offline kan halen. Daarnaast wil Microsoft zo’n 9.000 domeinnamen in handen krijgen die in de toekomst mogelijk misbruikt kunnen worden door cybercriminelen.
Overigens heeft de werkwijze van Microsoft niet op alle malware van Fancy Bear impact. Zo zou sommige malware met behulp van IP-adressen in plaats van domeinnamen verbinding maken met C&C-servers. De actie heeft geen invloed op deze malware.
In samenwerking met Dutch IT-Channel.
