Tientallen tot miljoenen zombiecomputers onder het beheer van één botherder die zijn robotweb gebruikt om cyberaanvallen uit te voeren. Dat klinkt misschien als dystopische sciencefiction, maar deze botnets zijn aan de orde van de dag. Wat is een botnet precies? Waarvoor wordt het ingezet? En hoe kun je als bedrijf voorkomen dat je er slachtoffer van wordt?
Wat is een botnet?
Botnet is een samentrekking van robot en netwerk. De definitie? Een botnet is een netwerk van met malware geïnfecteerde apparaten dat op afstand wordt bediend en ingezet kan worden voor cybercrime. Botnets worden ook wel het Zwitsers zakmes van cybercriminelen genoemd, aangezien ze er van alles mee doen: van het uitvoeren van DDoS- en brute force-aanvallen tot het versturen van spam.
In een botnet hoeven niet alleen maar computers te zitten, het gaat in toenemende mate ook om Internet of Things (IoT)-apparaten. Kleine botnets tellen maar enkele tientallen apparaten, de grootste netwerken vele miljoenen. Het botnet Mariposa telde op z’n hoogtepunt bijvoorbeeld apparaten met meer dan 12 miljoen IP-adressen.
Hoe werkt een botnet?
Computers worden voornamelijk gekaapt voor botnetten via Trojaanse paarden. Dat zijn schadelijke stukjes computercode die verpakt zitten in iets wat onschuldig lijkt en die vervolgens een achterdeur openzetten voor een hacker. Zo’n Trojaans paard kan bijvoorbeeld binnenkomen via phishing-mails of illegale software.
Als de botherder genoeg apparaten heeft geïnfecteerd, zorgt hij via de open achterdeuren dat alle computers gecombineerd worden tot één netwerk. Het volledige netwerk kan hij op afstand bedienen. Is een aanval met een botnet begonnen? Dan is de kans groot dat het netwerk maar enkele (tientallen) uren up en running blijft, totdat de definities van virusprogramma’s zijn geüpdatet. Daarom is het voor hackers belangrijk dat het botnet zo groot mogelijk is. Zo kunnen ze in korte tijd toch veel effect hebben.
Waarvoor worden botnets gebruikt?
Botnets kunnen bijvoorbeeld worden ingezet voor:
DDoS-aanvallen. Bij een Distributed Denial of Service-aanval wordt het botnet gebruikt om servers plat te leggen door grote hoeveelheden verkeer te versturen. Hoe groter het zombienetwerk, hoe krachtiger vanzelfsprekend de DDoS-aanval wordt die je kunt uitvoeren.
Spam. Een groot deel van alle spam-mails wordt door botnets verstuurd.
Spyware. Het botnet kan gevoelige gegevens zoals wachtwoorden ongemerkt verzamelen en doorsturen naar de botherder. Bij Operation Aurora, een geavanceerde botnet-aanval vanuit China, werd bijvoorbeeld intellectueel eigendom van onder andere Google en Adobe gestolen.
Lees ook: DDoS-aanvallen anno 2020, dit moet u weten
Brute force attacks. Hierbij worden wachtwoorden gekraakt door grote hoeveelheden wachtwoorden achter elkaar te proberen. Vaak wordt een IP-adres na bijvoorbeeld vijf onjuiste inlogpogingen geblokkeerd. Met een botnet kun je inlogpogingen doen vanaf heel veel IP-adressen, dus heb je een grote(re) kans van slagen.
Cryptominen. Cryptomunten kun je delven door wiskundige raadsels op te lossen. Daar is heel veel rekenkracht voor nodig. Zombiecomputers kunnen door de botnetbeheerder aan het werk worden gezet om cryptomunten zoals bitcoins te minen (Engelstalig).
Schadelijkheid van botnets voor je bedrijf
Vergeleken met ransomware valt de schade door botnets voor bedrijven doorgaans mee. Althans: als je computers onderdeel zijn van een botnet. Wordt er een botnet gebruikt om een DDoS-aanval op jou uit te voeren, dan ligt dit anders. In veel gevallen merk je überhaupt niet eens dat je apparaten onderdeel zijn van een botnet.
Toch kunnen botnetbesmettingen tot – soms vrij ernstige – schade leiden. Zo kunnen je apparaten en je netwerk langzamer worden, je elektriciteitsrekening kan flink oplopen, identiteiten en intellectuele eigendommen kunnen worden gestolen en last but not least kan spam vanuit jouw netwerk (en naar al jouw contactpersonen) worden gestuurd.
Botnets en IoT
Botnets bestaan steeds vaker uit grote aantallen Internet of Things (IoT)-apparaten. Denk aan beveiligingscamera’s, industriële monitoringapparaten of pinapparaten. Veiligheid is vaak het ondergeschoven kindje bij IoT-apparaten, bijvoorbeeld omdat de producten te snel uitgebracht of te goedkoop gemaakt moeten worden. Dat kan leiden tot kwetsbaarheden, zoals een processor die te zwak is voor encryptie of standaardwachtwoorden die je niet kunt veranderen. Bovendien laten de lichtgewicht besturingssystemen vaak niet veel ruimte voor security.
Het botnet Satori – dat werd ingezet voor DDoS-aanvallen tegen internetproviders, hostingproviders en online gamingplatformen – bestond uit zo’n 100.000 geïnfecteerde IoT-apparaten. Andere apparaten werden onder meer geïnfecteerd door het overnemen van standaardwachtwoorden. Daarom is het belangrijk om goed te kijken naar de security van deze IoT-apparaten.
Wat kun je doen om botnetbesmettingen te voorkomen?
De oorzaak dat je apparaat onderdeel uitmaakt van een botnet? Dat is een malware-infectie. Maatregelen om botnetbesmettingen tegen te gaan luiden daarom hetzelfde als die voor het voorkomen van malwarebesmettingen.
De belangrijkste maatregelen: antivirus, updates installeren, een (managed) firewall, overal verschillende sterke wachtwoorden, alert zijn op social engineering, uitkijken met downloaden en surfen, netwerksegmentatie (om de schade te beperken) en back-uppen (als laatste redmiddel).
Botnet check met KPN
Online veiligheid staat voorop bij KPN. Zo bevat KPN EEN MKB bijvoorbeeld standaard Extra Veilig Internet. Omdat de beveiliging door KPN geïmplementeerd is in het netwerk, hoef je niks te installeren én werkt het ook voor bijvoorbeeld IoT-apparaten. Extra Veilig Internet detecteert malware, blokkeert onveilige websites en waarschuwt bij malafide ogende sites, linkjes en downloads. Zo voorkom je onder meer het gebruik van je computers in een botnet, phishing en het bezoeken van onveilige sites door medewerkers. Extra Veilig Internet is een aanvulling op antivirussoftware.
Ambieer je als bedrijf next-level cybersecurity? Kies dan voor managed IT security van KPN.
