Iedereen die de hitfilm uit 1984 heeft gezien Ghostbusters herinnert waarschijnlijk aan het cruciale toneel waar een regeringsbureaucraat beveelt de sluiting van de spookinsluitingseenheid, waardoor een opgekropte fantoombedreiging in New York City effectief losbarstte. Nu dreigt iets soortgelijks in cyberspace te gebeuren: Schaduwserver.org, een volledig vrijwillige non-profitorganisatie die werkt om internetproviders (ISP's) te helpen bij het identificeren en in quarantaine plaatsen van malware-infecties en botnets, heeft zijn oude primaire financieringsbron verloren.
Afbeelding: Ghostbusters.
Shadowserver biedt dagelijks gratis live-feeds met informatie over systemen die ofwel zijn geïnfecteerd met bot-malware of dreigen te worden geïnfecteerd met meer dan 4,600 ISP's en met 107 nationale computer-noodhulpteams (CERT's) in 136 landen. Bovendien heeft het de FBI en de federale wetshandhavers van andere landen geholpen bij het "zinken" van domeinnamen die worden gebruikt om de activiteiten van verre malware-imperia te controleren.
In het computerbeveiligingslexicon, a sinkhole is in feite een manier om kwaadaardig internetverkeer om te leiden, zodat het kan worden vastgelegd en geanalyseerd door experts en / of wetshandhavers. Doorgaans wordt een sinkhole opgezet in combinatie met een soort juridische actie die is ontworpen om controle te krijgen over de belangrijkste bronnen die een malwarenetwerk aandrijven.
Sommige van deze interventies met ShadowServer zijn hier gedocumenteerd, waaronder de Avalanche spam botnet verwijdering, de overname van het Rustock-botnet Gameover malware botnet-inbeslagname en de Nitol botnet sneak attack. Vorige week speelde Shadowserver een belangrijke rol in Microsoft hielp het Necurs-malwarenetwerk te kneden, een van 's werelds grootste spam- en malware-botnets.
Afbeelding: Shadowserver.org
Met Sinkholing kunnen onderzoekers de controle over de domeinen van een malware-netwerk overnemen, terwijl het verkeer dat naar die systemen stroomt, wordt omgeleid naar een server die de onderzoekers beheren. Zolang goede mensen de sinkholed-domeinen beheren, kan geen van de geïnfecteerde computers instructies ontvangen over hoe ze zichzelf of anderen online kunnen schaden.
En Shadowserver was keer op keer de vertrouwde partner toen nationale wetshandhavingsinstanties iemand nodig hadden om de technische kant van de zaak te beheren, terwijl mensen met geweren en insignes harde schijven in beslag namen bij de getroffen ISP's en hostingproviders.
Maar heel recent kreeg Shadowserver het nieuws dat het bedrijf dat zijn activiteiten voornamelijk heeft gefinancierd voor meer dan 15-jaren, netwerkgigant Cisco Systems Inc., koos ervoor om die ondersteuning niet meer te verstrekken - in feite 1.7 miljoen dollar per jaar. Cisco heeft nog niet gereageerd op verzoeken om commentaar.
Tot overmaat van ramp is Shadowserver verteld dat het zijn datacenter tegen 15 mei moet migreren naar een nieuwe locatie, een karwei dat de organisatie schat dat het ergens in de buurt van $ 400,000 zal kosten.
"Miljoenen met malware geïnfecteerde slachtoffers over de hele wereld, die momenteel door Shadowserver worden ondergedompeld en worden beschermd tegen cybercriminele controle, kunnen die kritieke bescherming verliezen - net op het moment dat overheden en bedrijven worden gedwongen om onverwacht hun bedrijfsbeveiligingsomvang uit te breiden en sta personeel toe om vanuit huis te werken op hun eigen, mogelijk onbeheerde apparaten, en het risico op een andere grote Windows-worm is toegenomen, ”Shadowserver schreef in een blogpost die vandaag is gepubliceerd over hun financiële situatie.
De Shadowserver Foundation bedient momenteel 107 nationale computer-noodhulpteams (CERT's) in 136 landen, meer dan 4,600 gescreende netwerkeigenaren en meer dan 90% van het internet, voornamelijk door hen gratis dagelijkse netwerkrapporten te geven.
"Deze rapporten stellen onze kiezers op de hoogte van miljoenen verkeerd geconfigureerde, gecompromitteerde, geïnfecteerde of misbruikbare apparaten die dagelijks kunnen worden hersteld", legt Shadowserver uit.
De groep onderzoekt verschillende opties voor zelffinanciering in de toekomst, maar Shadowserver Director Richard Perlotto zegt dat de organisatie waarschijnlijk afhankelijk zal zijn van een gelaagd "alliantie" financieringsmodel, waarbij meerdere entiteiten financiële steun verlenen.
'Veel nationale CERT's krijgen onze gegevens al jaren gratis, maar de meeste van deze organisaties hebben geen geld en we hebben ze nooit in rekening gebracht omdat Cisco de rekening heeft betaald', zei Perlotto. “Het probleem voor Shadowserver is dat we niet vaak bloggen over onze prestaties en dat we redelijk rustig opereren. Maar nu we financiering moeten doen, is het een ander verhaal. '
Perlotto zei dat hoewel de gegevens van Shadowserver uiterst waardevol zijn, de organisatie lang geleden een standpunt heeft ingenomen dat zou het wel verkoop nooit slachtoffergegevens.
"Dit betekent niet dat we activiteiten in de anticommerciële sector zijn - we zijn er zeker van dat er enorme kansen zijn voor innovatie, productontwikkeling en het verkopen van cybersecurity-diensten", zei hij. “Shadowserver wil niet concurreren met commerciële leveranciers of hun bedrijfsmodellen verstoren. Maar we geloven dat fundamenteel niemand zou hoeven te betalen om erachter te komen dat zij het slachtoffer zijn geworden van cybercriminaliteit. '
Onmiddellijk moet Shadowserver tegen het einde van deze maand ongeveer $ 400,000 inzamelen om de migratie van zijn meer dan 1,300 servers vanuit het datacenter van Cisco in Californië naar een nieuwe faciliteit te beheren.
Iedereen die die migratie-inspanning wil ondersteunen, kan dat rechtstreeks doen hier; De contactpagina van Shadowserver is hier.
Tags: Cisco Systems, Richard Perlotto, Stichting Shadowserver
Bron: https://krebsonsecurity.com/2020/03/the-webs-bot-containment-unit-needs-your-help/
