D9D1E2

Datalekken in Nederland

2012

Criminelen bemachtigen persoonsgegevens met behulp van Dorifelvirus (12/08/08)

[Organisatie | Verwerking | Betrokkenen | Soort (persoons)gegevens | Type incident | Beschrijving van het incident | Respons van de organisatie | Bronnen]

Organisatie

De virusaanval manifesteerde zich in eerste instantie bij de gemeente Weert, en daarna bij een groot aantal andere organisaties.

Verwerking

Diverse verwerkingen.

Betrokkenen

Diverse betrokkenen

Soort (persoons)gegevens

Diverse (persoons)gegevens.

Type incident

Inbreuk op de beschikbaarheid van de verwerkte gegevens.

Beschrijving van het incident

"Een computervirus in het netwerk van de Limburgse gemeente Weert zorgt voor een storing waardoor het gemeentelijke computernetwerk is afgesloten, zo laat de gemeente op haar eigen website weten. In een verklaring stelt de gemeente dat het om een Trojaans Paard gaat dat zich verspreidt bij elke handeling die medewerkers via de computer doen." [Security.nl, 12/08/08]

"Volgens de gemeente Weert heeft de Sasfis-trojan zich sinds dinsdag op het interne gemeentenetwerk weten te verspreiden. [...] De malware zou zich hebben kunnen verspreiden op het interne netwerk doordat het om een nieuwe variant ging van de Sasfis-trojan. Deze versie zou niet door de gebruikte antivirussoftware herkend worden. De Sasfis-malware weet zich volgens Symantec met behulp van Word te installeren op een pc en kan op afstand aangestuurd worden, bijvoorbeeld om spam te verspreiden." [Tweakers.net, 12/08/08]

"De gemeenten Borsele, Weert, Venlo en Den Bosch zijn getroffen door een computervirus. Dat hebben Borsele, Weert en Den Bosch woensdag bekendgemaakt. Donderdag liet ook Venlo weten last te hebben van het virus. Waarschijnlijk gaat het om hetzelfde virus. [...] De versie van het virus dat het digitale systeem van de gemeente Weert besmet heeft, werd niet herkend door de virusscanner. Voor zover nu bekend gaat het om onder andere McAfee en Symantec die in Den Bosch, Weert en Venlo worden gebruikt." [Nu.nl, 12/08/08]

"De problemen met een computervirus bij de gemeente Den Bosch zijn onder controle. Dat heeft een woordvoerder van de gemeente vandaag gezegd." [AG, 12/08/09]

"Uit een eerste inventarisatie bleek dat er in Nederland ruim 2200 computernetwerken zijn besmet met het computervirus. Het aantal computers dat in het buitenland is getroffen, ligt tussen de 100 en 200. Het computervirus verspreid zich via een variant van de bekende Zeus-trojan, Citadel. Het Trojaanse paard staat nu bekend als Dorifel, ofwel voluit Trojan-Ransom.Win32.Dorifel." [AG, 12/08/09]

"Diverse bedrijven melden inmiddels dat het virus een opmerkelijke werking heeft. Het kan bestanden op een netwerk versleutelen. Daardoor kunnen bedrijven niet meer bij bestanden die gemaakt zijn met Microsoft Word of Excel. Bij het versleutelen wordt de naam van het document iets aangepast, waardoor het originele bestand voor minder bedreven computergebruikers lastig te vinden is. Volgens experts zou dit erop kunnen duiden dat er sprake is van zogenaamde ransomware. Daarbij is het bedoeling om organisaties te chanteren om weer toegang tot bestanden te krijgen. Er zijn echter nog geen gevallen bekend waarbij organisaties ook daadwerkelijk zijn afgeperst. Omdat voor elke versleuteling dezelfde sleutel gebruikt wordt, is de schade relatief eenvoudig ongedaan te maken." [Nu.nl, 12/08/09]

"De bestanden worden vervangen door kwaadaardige code, terwijl het icoontje hetzelfde blijft, waardoor de kans bestaat dat een gebruiker nietsvermoedend de code start als hij of zij een bestand wil openen. Volgens het Nationaal Cyber Security Centrum lijkt het niet mogelijk om de ge´nfecteerde bestanden op te schonen." [AG, 12/08/09]

"Het virus dat sinds gisteren bij verschillende Nederlandse organisaties Office-bestanden verminkt, blijkt een defect gijzelvirus te zijn. De overheid heeft inmiddels een waarschuwing afgegeven voor de malware die zowel Word- als Excel-bestanden onbruikbaar maakt. 'Door dit virus worden de ge´nfecteerde bestanden onbruikbaar, er is nog geen oplossing voorhanden om de bestanden weer bruikbaar te maken. Het virus wordt door een aantal virusscanners herkend', aldus de Waarschuwingsdienst." [Security.nl, 12/08/09]

"Volgens een persbericht van het NCSC is Dorifel op de computers terecht gekomen via een Zeusvariant, Citadel, dat al enige tijd op de netwerken moet hebben gestaan. Deze week heeft Citadel de XDocCrypt/Dorifel gedownload vanaf een Zeusbotnet, waarna er bij de getroffen gemeenten duizenden documenten besmet zijn geraakt. Naast de bekende vier gemeenten zijn ook Tilburg en Almere besmet geraakt. Later deze middag meldde ook de gemeente Stedebroec in Noord-Holland de besmetting. De provincie Noord-Holland zelf blijkt eveneens ge´nfecteerd te zijn." [WebWereld, 12/08/09]

"Een nieuwe trojan lijft bedrijfscomputers in Nederland in bij het Zeus-botnet Citadel. Het schadelijke bestand plaatst zichzelf in de map Mijn Documenten van ge´nfecteerde computers en hernoemt zich naar een bestaand Office-bestand. De malware wordt ge´nstalleerd op systemen die al ge´nfecteerd zijn met Zeus en onderdeel zijn van het Citadel-botnet. [...] In drie uur tijd zag Fox-IT het aantal besmettingen vannacht stijgen van 500 naar 2700." [WebWereld, 12/08/09]

"Het virus dat op dit moment door Nederland waart en Word- en Excel-bestanden beschadigt heeft al meer dan 3.000 computers ge´nfecteerd, onder andere bij het ministerie van Onderwijs, Cultuur en Wetenschap (OCW) en Het Rijksinstituut voor Volksgezondheid en Milieu (RIVM). Bij het RIVM werd de malware gisteren aangetroffen. Volgens de organisatie was het virus niet ontdekt door de reguliere virusscanners. [...] Het computervirus werd gedetecteerd op twee pc's die meteen zijn afgesloten. Daarmee was de bron van de infectie ge´soleerd, aldus een verklaring van het RIVM. De medewerkers van het RIVM konden vandaag gewoon doorwerken. Wel is hen gevraagd preventieve maatregelen te treffen door geen onbekende websites te bezoeken, bestanden niet te openen als de extensie onbekend is en de pc af te sluiten na gebruik." [Security.nl, 12/08/09]

"Het feit dat al deze instellingen zijn besmet, heeft mogelijk meer tot gevolg dan enkel ontoegankelijke Word- en Excel-bestanden: het virus is verspreid via een bestaand botnet, en de getroffen instellingen waren dus in de macht van dat botnet." [Tweakers.net, 12/08/09]

"Volgens [de woordvoerder van Fox-IT] valt het aantal besmettingen wel mee. Het zijn er zo'n 3000. Dat er zo veel ophef is ontstaan komt vooral doordat de aanval erg opvalt en de dienstverlening van onder andere gemeenten verstoort. 'Wat we donderdag hebben geleerd is dat niet alleen op virusscanners vertrouwd kan worden. Als Dorifel zich niet zo agressief had verspreid, had het misschien nog wel langer onopgemerkt gebleven', aldus [de woordvoerder]. 'Er is niet alleen een slot op de deur nodig in de vorm van een virusscanner, maar ook een alarmsysteem', zegt [de woordvoerder]. 'Dat zijn maatregelen die virussen kunnen opsporen die al in systemen rondwaren.'" [AG, 12/08/10]

"De meeste slachtoffers van het Dorifelvirus, zowel consumenten als bedrijven en instellingen, beschikten over een volledig bijgewerkte virusscanner. Dat zegt [een woordvoerder] van het Nederlandse bedrijf Surfright tegen Security.nl. 'De eerste Zbot (Zeus) infecties vonden begin juli plaats', aldus [de woordvoerder]. De infecties raakten besmet ondanks het feit dat de systemen over een werkende virusscanner beschikten. Het gaat dan om de bekende zakelijke anti-virusproducten. De malware schakelde de virusscanners niet uit, maar bleef onzichtbaar voor de beveiligingssoftware actief op de computers, totdat het de Dorifelvirus installeerde. Toen pas hadden de slachtoffers door dat er iets mis met hun beveiliging was. Op verschillende systemen trof Surfright ook de ZeroAccess rootkit aan. Een zeer lastig te verwijderen rootkit die door menig virusscanner wordt gemist." [Security.nl, 12/08/10]

"De uitbraak van de Dorifel-malware is veel groter dan in eerste instantie werd gedacht en nog gaande, aldus het Russische anti-virusbedrijf Kaspersky Lab. Naast Nederland raakten ook organisaties in Denemarken, Filipijnen, Duitsland, Verenigde Staten, Spanje, Canada, China en Polen geinfecteerd. Nederland werd echter het zwaarst getroffen. 'Het aantal infecties in Nederland is naar 3113 gestegen, wat een stijging van meer dan 1100 computers in slechts een paar uur is', aldus [een analist]. 'Dit geeft aan dat niet alle computers up-to-date anti-virus software draaiden, of erger, helemaal geen virusscanner gebruikten.' De malware verspreidt zich volgens Kaspersky Lab initieel via e-mail, waarbij het de 'Right-to-Left-Override' (RTLO) kwetsbaarheid gebruikt om de werkelijke extensie van het bestand te maskeren. De malware downloadt vervolgens aanvullende malware die op de besmette computer documenten versleutelt. Ook probeert Dorifel bestanden op gedeelde netwerkmappen te versleutelen. [...] [De analist] onderzocht de servers waarop de Dorifel-malware draait en ontdekte dat die niet goed was geconfigureerd, waardoor er eenvoudig toegang tot andere mappen was te krijgen. Daar werden nog veel meer kwaadaardige onderdelen ontdekt, waaronder Java-exploits en nep-virusscanners." [Security.nl, 12/08/10]

"De uitbraak van het Dorifelvirus dat sinds woensdag tientallen Nederlandse gemeenten, bedrijven en universiteiten infecteerde, is onder controle, zo laat het Nationaal Cyber Security Center (NCSC) weten. [...] Inmiddels zouden ook internetproviders en beheerders actief op de besmetting monitoren. Daarnaast is het IP-adres waar het virus naar verwees, met medewerking van ISP's onbereikbaar gemaakt. Deze aanpak heeft geholpen want het NCSC ontvangt geen meldingen meer van getroffen instellingen. 'Daarmee blijft het aantal bij het NCSC bekende getroffen instellingen staan op 30.'" [Security.nl, 12/08/10]

"Volgens een medewerker van Fox-IT heeft de beheerder van de trojan donderdag een nieuw commando naar het botnet gestuurd, waarmee een bekende banken-trojan werd gedownload. Het ging daarbij om een executable die volgens VirusTotal door veertig bekende antivirusproducten niet werd herkend." [Tweakers.net, 12/08/10]

"Het virus kan contact op nemen met een 'command en control'-server, een soort moederschip. Van daaruit krijgt het Dorifelvirus nieuwe versies of opdrachten. Het werd duidelijk dat er twee servers actief waren op de IP-adressen 184.82.162.163 en 184.22.103.202. Deze staan in de Ukra´ne. Er blijkt ook een derde IP-adres in Oostenrijk te bestaan, 158.255.211.28. Dit adres wordt ook gebruikt om op Nederland gerichtte Phishing-aanvallen uit te voeren. Filteren van de internetadressen blijken slechts een gedeeltelijke oplossing. Het virus is slim genoeg om zichzelf te kunnen aanpassen om een nieuw IP-adres als Command-en-Control-server te zien. Om dat te regelen wordt gebruik gemaakt van het gamersforum 4Games.com waar een speler 'Breaking Bad' is aangemaakt. Deze persoon doet verder niets, maar in zijn profielfoto zit een versleutelde code die het virus vertelt waar het moederschip te vinden is. Wie dus het virus vleugellam wil maken zal alle IP-adressen moeten blokkeren en het gamersaccount moeten verwijderden. [...] Voor het communiceren met de Command en Control-server wordt gebruik gemaakt van hoogwaardige versleuteling, waardoor niet zomaar zichtbaar is welke stappen het systeem neemt tijdens het updaten van het virus. Dat er plannen zijn om het virus zichzelf te laten updaten blijkt vervolgens dat er verwijzingen zijn in de code om nieuwe stukjes programmatuur te activeren. Ook blijkt het virus te zijn voorbereid om zichzelf te verbergen voor de gebruiker als deze kijkt naar wat er allemaal op zijn machine actief is. Dat gebeurt vaak als iemand merkt dat zijn computer traag is. Zodra Windows een overzicht van draaiende processen probeert te bekijken, schakelt het virus zichzelf tijdelijk uit. Zo is er niets zichtbaar in de zogenaamde Task Manager. [...] Uit een onderzoek van beveiligingsbedrijf Digital Investigation blijkt dat het niet verwonderlijk is dat Nederland meer dan gemiddeld is getroffen. Op een van de servers zijn namelijk websites gevonden die zich richten op het stelen van Nederlandse bankgegevens. Daarmee is de aanval vermoedelijk op het benadelen van Nederlanders gericht." [Nu.nl, 12/08/11]

"Op de master-server van het Dorifel-virus zijn de bankgegevens van honderden Nederlanders aangetroffen. Dat meldt het Nederlandse beveiligingsbedrijf Digital Investigations. [Een onderzoeker] vond op de server phishingsites van vier Nederlandse banken, te weten ING, ABN AMRO, Rabobank en SNS Bank. In totaal werden de gegevens van 549 mensen gevonden, waarbij de criminelen de meeste slachtoffers onder ING-klanten maakten. Naast de 468 ING-klanten werden ook gegevens van 49 ABN AMRO-klanten, 17 Rabobank-klanten en 15 SNS-klanten gestolen. Inmiddels zijn de veiligheidsafdelingen van de banken ge´nformeerd en de klantgegevens gedeeld, zodat de banken actie kunnen ondernemen." [Security.nl, 12/08/12]

"De beveiligingsfirma Digital Investigation meldt dat zij op de in Oostenrijk gehoste 'masterserver' van de botnet-beheerders loggegevens heeft aangetroffen. Deze publiek toegankelijke logs zouden bankgegevens bevatten van in totaal 549 Nederlanders, waaronder 17 slachtoffers bij de Rabobank, 15 bij SNS, 49 bij ABN Amro en 468 bij ING." [Tweakers.net, 12/08/12]

"De zogeheten masterserver van het Dorifel-virus host phishingwebsites voor de vier grootste Nederlandse banken, ING, Rabobank, ABN Amro en SNS Bank. Het bedrijf Digital Investigation zegt de logbestanden van de server te hebben ingezien en trof de gegevens aan van 17 klanten van de Rabobank, 15 van SNS, 49 van ABN Amro en 468 van ING. De banken zijn inmiddels door het bedrijf op de hoogte gesteld. Volgens Digital Investigation is deze bankscam de reden dat Dorifel zich vooral in Nederland heeft verspreid. Het bedrijf zegt dat uit de analyse van de masterserver naar schatting tienduizenden computers in Nederland zijn besmet. 'Het aantal nieuwe loggings op de masterserver was zaterdag 80 per uur. Dat zijn nieuwe bankgegevens die buit zijn gemaakt. Zo kan je een schatting van het aantal infecties maken', zegt [een woordvoerder] van Digital Investigation." [WebWereld, 12/08/12]

"Het botnetwerk dat de Verenigde Staten in zijn greep houdt, is net als het botnet dat in Nederland de Dorifel-virus verspreidt gebaseerd op het softwareplatform Citadel, een variant van het oudere Zeus-platform. Het Internet Crime Complaint Center (IC3) krijgt naar eigen zeggen tientallen klachten binnen per dag over de losgeldtrojan. Infectie gebeurt via 'drive-by', het bezoeken van websites waarin de virus zit verstopt. Bij bezoek wordt de computer direct 'bevroren' en komt er een popup met daarin de melding dat het IP-adres van de computergebruiker door de FBI is betrapt op het bezoeken van websites met kinderporno en andere illegale content. Om de computer weer te bevrijden, moet er een boete worden betaald aan Justitie via een prepaid betaalservice." [WebWereld, 12/08/13]

"Niet Dorifel, maar andere malware vanaf dezelfde masterserver zou mogelijk de bankgegevens van zo'n 1600 Nederlanders hebben gestolen. Mogelijk gaat het om de trojan Citadel zelf." [WebWereld, 12/08/13]

"De originele server die Dorifel verspreidde en het botnet aanstuurde werd offline gehaald door het Nationaal Cyber Security Centrum (NCSC). Er zijn inmiddels echter nieuwe servers actief die zich in hetzelfde botnet bevinden en ongeveer een maand actief zijn. Ze bevatten publiek toegankelijke logboeken, waaruit blijkt dat er bankgegevens worden gestolen. Ook worden de servers zeer waarschijnlijk ingezet voor het verder verspreiden van virussen." [Nu.nl, 12/08/14]

"De gegevens van internetbankieren die op de server van het Dorifelvirus gevonden zijn, treffen veel minder Nederlands dan gedacht. [...] De lijst met unieke inloggegevens bestaat uit 606 accounts voor internetbankieren. Tien daarvan vallen aan te merken als evident onjuist, waardoor het maximaal 596 mensen betreft. In totaal gaat het om 306 accounts van de ING, 152 van de Rabobank, 119 van ABNAMRO en 29 van de SNS-bank. In het onderzoek valt niet te verifiŰren of iedere inlogpoging ook daadwerkelijk bij een bestaande rekening hoort." [Nu.nl, 12/08/14]

"De inmiddels 1760 inlogpogingen die de Citadelbende heeft opgeslagen van Nederlandse internetbankierders, zijn van 569 personen. Veel inlogpogingen komen vanuit een en dezelfde computer. Volgens [een] journalist en onderzoeker [...] wordt vanuit een aantal computers in het buitenland, waaronder Oostenrijk en ItaliŰ, op meerdere bankrekeningen van meerdere banken ingelogd. Het aantal inlogpogingen vanuit eenzelfde IP-adres is opvallend hoog, stelt hij. De [journalist en onderzoeker] vermoedt dat die IP-adressen bij internetcafÚs behoren of een anderszins publiekelijk toegankelijke computer." [WebWereld, 12/08/14]

"Het Citadelbotnet is vannacht weer tot leven gekomen vanuit een nog niet bekend en actief domein. Het botnet heeft zijn communicatie nu veranderd naar een nieuwe server en de bots in het botnet hebben het commando gekregen een nieuwe versie van [de trojan] Hermes te downloaden." [WebWereld, 12/08/14]

"De helft van alle waargenomen infecties met het Dorifelvirus bevindt zich in Nederland, aldus anti-virusbedrijf Symantec. Een eerdere variant van de malware werd in juni waargenomen en was toen vooral in Spanje actief. De malware infecteerde destijds alleen .exe-, .doc- en .docx-bestanden, terwijl de versie die in Nederland actief is ook Excelbestanden (.xls en .xlsx) besmet. Verder blijkt dat de eerste versie van Exprez, zoals Symantec Dorifel noemt, ook al naar een afbeelding op een gamingforum wees, net als de nieuwste variant. Via de afbeelding werd met de besmette machines gecommuniceerd." [Security.nl, 12/08/15]

"De Citadel-malware die onlangs bij verschillende gemeenten, ministeries en instellingen het Dorifelvirus installeerde, is een bouwdoos die door verschillende bendes wordt gebruikt. [...] De ontwikkelaars bieden Citadel als product aan, wat bestaat uit de Citadel builder, een bouwprogramma. De klanten, die voornamelijk uit botnetbeheerders bestaan, gebruiken de kit om eigen exemplaren van de Citadel-malware te configureren, compileren en genereren. 'Wat we in ons lab zien is dat er meerder spelers Citadel gebruiken. Elke speler kiest zijn eigen manier of manieren om de malware te verspreiden', laat [een woordvoerder van Kapersky Lab] weten. Het kan dan gaan om het gebruik van drive-by downloads, om internetgebruikers via verouderde software te infecteren, maar een andere mogelijkheid is het installeren van Citadel op al bestaande botnets. Hierbij huren de cybercriminelen de computers waar een andere cybercrimineel de controle over heeft. Drive-by downloads komen echter het vaakst voor om internetgebruikers te infecteren, merkt [de woordvoerder] op." [Security.nl, 12/08/20]

"Het Dorifelvirus dat begin deze maand duizenden computers infecteerde, onder andere bij ministeries en andere overheidsinstellingen, was in staat om de surfgeschiedenis en browser cache van slachtoffers te stelen. Dat blijkt uit een analyse van het Slowaakse anti-virusbedrijf ESET. Volgens de virusbestrijder verspreidt Dorifel zich via e-mail, andere malware die al op systemen actief is en besmette USB-sticks." [Security.nl, 12/08/22]

"Inmiddels zouden er zes versies van Dorifel in omloop zijn. Opvallend is dat domeinen die door Dorifel worden gebruikt, volgens [een beveiligingsonderzoeker] zijn geregistreerd door dezelfde personen die eerder deze maand de malware op Telegraaf.nl verspreidden. Dat betekent dat de domeinnamen zijn geregistreerd door dezelfde persoon die 'domeinnamen voor andere boefjes registreert', in de woorden van [de beveiligingsonderzoeker], of dat dezelfde groep achter beide aanvallen zit." [Tweakers.net, 2012/10/02]

Respons van de organisatie

"'Daarom moet het hele gemeentelijke computernetwerk worden afgesloten, zowel in het stadhuis als op de gemeentewerf/Milieustraat en de dependance Stramproy. Alleen op die manier kan verdere verspreiding worden voorkomen en het virus worden 'uitgeroeid'." Volgens de gemeente [Weert] is het niet uitgesloten dat bestanden die personen en organisaties sinds dinsdagochtend 7 augustus via de gemeente Weert hebben ontvangen, ook ge´nfecteerd zijn." [Security.nl, 12/08/08]

"Om verdere verspreiding te voorkomen en de malware op te ruimen, is besloten het gehele netwerk uit de lucht te halen. Dit heeft tot gevolg dat de dienstverlening naar de burger is beperkt. Zo kunnen er geen paspoorten afgehaald worden." [Tweakers.net, 12/08/08]

"McAfee erkende donderdag dat het virus is gemist. De bedrijven brengen updates uit om het virus alsnog te pakken, vertelde [de eigenaar] van Crypsys, dat computerbeveiligingsproducten levert. 'Deze variant was ook bij de organisatie die onze virusscanner levert niet bekend en verspreidt zich heel snel van het ene naar het andere bestand', aldus een woordvoerder van de gemeente. Borsele heeft het computernetwerk afgesloten om verspreiding van het virus te voorkomen. Publiekszaken kunnen vanwege het virus niet worden afgehandeld, meldt de Zeeuwse gemeente op de website. Mogelijk duurt dit tot nog en met donderdag. Ook in Weert en Den Bosch lag de dienstverlening aan de burgers woensdag grotendeels stil. De problemen in Den Bosch waren donderdagochtend weer onder controle. 'De interne en externe dienstverlening kan gewoon weer worden uitgevoerd', aldus een woordvoerder. Weert en Borsele waarschuwen mensen die sinds dinsdag mail van de gemeente hebben gekregen om een eventueel toegevoegd bestand niet te openen. Het bestand kan besmet zijn. In Venlo heeft het virus het uitgaande e-mailverkeer van de gemeente platgelegd, zei een woordvoerder donderdag. Het virus komt via mailbestanden in de computers terecht. De gemeente ontdekte het virus woensdagmiddag in een klein aantal bestanden. Door snel ingrijpen hoefde niet het hele netwerk platgelegd te worden." [Nu.nl, 12/08/08]

"Hoewel het virus naar alle waarschijnlijkheid niet specifiek gericht is tegen overheidscomputers, blijkt wel eens te meer de kwetsbaarheid van de overheden en soortgelijke organisaties. Besmetting heeft direct grote gevolgen en bekendheid doordat de dienstverlening moet worden gestaakt en dit gecommuniceerd moet worden met de burgers. En niet alle overheden lijken even goed te zijn voorbereid op dit soort besmettingen. De symptomen lijken redelijk snel te worden bestreden, maar de onderliggende problemen - zoals in dit geval het Citadelbotnet - worden misschien wel onderschat." [SOLV, 12/08/10]

"Volgens [de directeur van beveiligingsdienstverlener Medusoft] is de infectie van Dorifel op dit moment goed te bestrijden met de nieuwe updates die antivirusleveranciers hebben uitgebracht, maar zitten er haken en ogen aan de bestrijding van de botnetbesmetting via Citadel. 'ICT-afdelingen hebben geregeld te maken met systemen die zij niet onder controle hebben. Soms simpelweg omdat zij van het bestaan van een systeem niet weten, de zogeheten 'vergeten' systemen. Juist die zijn geregeld voorwerp van aanvallen. Het is dan moeilijk te achterhalen welk systeem de bron is van alle kwaad.'Daarnaast, zegt [de directeur], zijn ICT-afdelingen van kleinere overheden als gemeenten niet toegerust met de kennis en de tools om dergelijke besmettingen te lijf te gaan. 'Wij zijn nu bezig met de ontwikkeling van een tool die zo geconfigureerd is dat het de Citadelbesmettingen direct te lijf kan gaan zonder dat een gemeentelijke ICT-afdeling daar nog aan moet sleutelen. Maar die ontwikkeling verloopt wat trager dan gewild omdat we nu zo veel worden gebeld om informatie.' Verder is er gratis software als Snort om het uitgaande verkeer te monitoren, zegt hij. Ook adviseert hij organisaties om de logfiles van de firewall na te lopen om te checken of en wanneer er uitgaand verkeer is geweest naar een van de IP-adressen die door de malware wordt gebruikt." [WebWereld, 12/08/10]

"Slachtoffers die met de Citadel-malware besmet zijn, die ook in Nederland duizenden slachtoffers maakte, moeten naar een expert om het Trojaanse paard te verwijderen. Dat adviseert het Internet Crime Complaint Center (IC3), een samenwerkingsverband tussen de FBI en het Amerikaanse White Collar Crime Center. De opsporingsdienst kwam deze week al met een waarschuwing voor Citadel, die in de VS de Reveton ransomware installeert." [Security.nl, 12/08/12]

"De gemeente Weert die deze week door het Dorifel-virus werd getroffen gaat aangifte van cybervandalisme doen, zo laat de gemeente op de eigen website weten. [...] Vrijdag werd bekend dat Justitie een strafrechtelijk onderzoek naar de virusbesmetting instelt. Mogelijk wordt daarbij met buitenlandse diensten samengewerkt." [Security.nl, 12/08/12]

"'Het Dorifel-virus heeft niet de systemen van de ING zelf getroffen', zegt de bank. Het is echter volgens de ING wel mogelijk dat de computers van klanten besmet zijn geraakt, waardoor de gegevens van deze klanten 'in verkeerde handen zouden kunnen zijn gekomen'. Volgens de bank is nog niet duidelijk 'om welke gegevens het precies gaat en of hier daadwerkelijk misbruik van is gemaakt'. De ING zegt dat het aantal mogelijk besmette klanten 'beperkt' is." [Nu.nl, 12/08/13]

"Volgens ING 'blijkt uit voorlopige resultaten van dit onderzoek dat het tientallen klanten betreft.'" [Security.nl, 12/08/13]

"Inmiddels bestrijdt het Nationaal Cyber Security Centrum (NCSC) al een aantal dagen het Dorifel-virus en de gebruikte infrastructuren voor de verspreiding hiervan. 'De verspreiding van Dorifel binnen organisaties lijkt op basis van ontvangen meldingen door het NCSC een halt te zijn toe geroepen', aldus de overheidsinstantie. Het onderzoek richt zich nu voornamelijk op de omvangrijke internationale infrastructuur die is gebruikt om Dorifel te verspreiden, een groot Citadel botnet, waarmee actief malware zoals Zeus, Dorifel en Hermes wordt verspreid. Daarbij wordt ook gekeken naar de malware die zich richt op het stelen van bankgegevens. Zo worden internet service providers, die gebruik maken van diensten als Shadowserver en Spamhaus, automatisch voorzien van informatie om hun klanten te beschermen. Daarnaast zijn diverse domeinen die ingezet werden voor misbruik, nationaal en internationaal, onschadelijk gemaakt op verzoek van het NCSC. Tenslotte loopt er een strafrechtelijk onderzoek naar de dader(s) achter dit netwerk." [Security.nl, 12/08/13]

"Voor wat betreft de Rijksoverheid hebben de ministeries aan de RijksCIO gerapporteerd dat besmetting is opgetreden bij het Rijksinstituut voor Volksgezondheid en Milieu (RIVM, 2 pcĺs), het Koninklijk Meteorologisch Instituut (KNMI, 3 pc's), het ministerie van Onderwijs, Cultuur en Wetenschappen (OCW, 6 pcĺs), het ministerie van Economische Zaken, Landbouw en Innovatie (EL&I, 10 pcĺs en 2 servers) en op ÚÚn pc op het separate studentennetwerk van de Nederlandse Defensie Academie (NLDA). De getroffen organisaties zouden inmiddels weer virusvrij zijn en stellen dat bedrijfscontinu´teit niet in het geding is geweest." [Security.nl, 12/08/14]

"Het NCSC heeft internationale verzoeken uitstaan om IP-adressen die behoren tot het Citadel-botnet offline te halen. Naast Notice-and-Takedown-verzoeken worden ook domeinen omgeleid naar sinkholes. Het Nationaal Cyber Security Center zegt verder dat ze domeinen die wel in de malware zijn opgenomen maar nog niet zijn geregistreerd, zelf registreren om ze zo onbruikbaar te maken voor misbruik. "Met deze aanpak kunnen we tijd winnen voor het nemen van aanvullende maatregelen bij organisaties en strafrechtelijk onderzoek naar de daders", schrijft het NCSC in een FAQ. De internationale verzoeken om de betrokken IP-adressen in het buitenland aan te pakken betekent nog niet dat die ook daadwerkelijk offline worden gehaald. 'Het is een afweging van de betreffende landen om al dan niet actie te ondernemen naar aanleiding van het verzoek.' Het NCSC wil niet verder ingaan op meer details van het onderzoek 'in het belang van het onderzoek'." [WebWereld, 12/08/14]

"Het Nationaal Cyber Security Centrum (NCSC) heeft een factsheet rond de infecties van het Dorifel en Citadel uitgebracht genaamd 'Verlos me van een botnet'. Het document gaat nader in op de relatie tussen Dorifel en Citadel, wat de gevolgen van een besmetting kunnen zijn en hoe te handelen na een besmetting. Ten slotte wordt er een aantal handreikingen gedaan om besmettingen te voorkomen." [Security.nl, 12/08/16]

"Het Nationaal Cyber Security Center (NCSC) waarschuwt dat de Citadel-malware, die bij gemeenten, ministeries en andere instellingen het Dorifelvirus verspreidde, ook cliŰntcertificaten heeft buitgemaakt." [Security.nl, 12/08/17]

"Volgens [de minister van Veiligheid en Justitie] heeft het Nationaal Cyber Security Centrum de Dorifel-uitbraak onder controle weten te krijgen door actief domeinnamen te blokkeren of om te leiden. Daarvoor zijn circa zestig domeinnamen aangepakt. Naar serverbeheerders in Oostenrijk, VS, Vietnam en Rusland zijn notice and takedown-verzoeken verstuurd om command & control-servers van het achterliggende Citadel-botnet uit de lucht te halen. Verder hebben Nederlandse isp's diverse ip-adressen geblokkeerd die gebruikt werden om de malware te verspreiden. Het ministerie meldt dat er van dertig organisaties bekend is dat zij zijn getroffen door Dorifel, maar dat het vermoedelijke aantal fors hoger ligt omdat veel instellingen en bedrijven hier geen ruchtbaarheid aan willen geven. De minister schrijft verder dat uit de blootgelegde logdata van de malware blijkt dat er circa 3500 systemen besmet zijn geraakt met Dorifel, waarvan 90 procent in Nederland. Volgens Opstelten zijn Windows-computers van zowel het bedrijfsleven als de overheid getroffen, vermoedelijk in een evenredige verhouding." [Tweakers.net, 2012/09/23]

"De kosten voor de overheid worden vooralsnog geschat op een bedrag tussen de 10.000 en 50.000 euro. Die kosten zitten vooral in het doen van onderzoek naar de besmetting, het blokkeren van de bronservers en het herstellen van de besmette bestanden. Dat zijn echter vooral kosten die deel uitmaken van reguliere bedrijfsvoering. De minister benadrukt dat directe kosten niet te kwantificeren zijn." [AG, 2012/09/24]

"Op een Russisch forum voor cybercriminelen worden inloggegevens voor internetbankieren verkocht die door Citadel-botnets gestolen zijn. Citadel is een 'bouwdoos' voor het opzetten van een eigen botnet. Er is dus geen ÚÚn groot Citadel-botnet, maar allerlei kleine Citadel-botnets die door verschillende botnetbeheerders beheerd worden. De malware was en is ook in Nederland actief." [Security.nl, 2013-05-17]

"Softwareleverancier Microsoft heeft samen met het Amerikaanse opsporingsdienst FBI een groot deel van het Citadel-botnet offline gehaald. Er werden ongeveer duizend subnetwerken onderuit gehaald, wat neerkomt op ongeveer tweederde van het botnet. Wereldwijd zouden er zĺn vijf miljoen computers zijn besmet door Citadel. De FBI werkte samen met de politie in andere landen, waaronder ook de Nederlandse politie. [Computable, 2013-06-06]

"Volgens een Zwitserse beveiligingsonderzoeker was de actie van Microsoft en de FBI waarbij 1400 Citadel-botnets werden verstoord vooral een pr-stunt. De actie zou geen impact op Citadel hebben en de inbeslagname van domeinnamen zou veel beveiligingsprojecten hebben getroffen." [Tweakers.net, 2013-06-08]

"Met het oprollen van ruim 1400 Citadel-botnets heeft Microsoft een hoop schade veroorzaakt bij beveiligingsonderzoekers en beveiligingsbedrijven. Dat beweert de Zwitserse beveiligingsonderzoeker [...]. Vorige week voerde Microsoft 'Operation b54' uit, waarbij het van een rechter de controle over duizenden domeinnamen kreeg. De Citadel-botnets gebruikten deze domeinnamen om met besmette computers, die onderdeel van de botnets waren, te communiceren. Toen de domeinnamen in handen van Microsoft kwamen, liet de softwaregigant ze naar een server van Microsoft wijzen. Vervolgens kunnen besmette gebruikers bijvoorbeeld worden gewaarschuwd. Deze techniek wordt 'sinkholing' genoemd en wordt al geruime tijd door onderzoekers en beveiligingsbedrijven toegepast, zowel voor onderzoek als commerciŰle reden. De informatie die de sinkholes opleveren kan bijvoorbeeld worden verkocht. Na de actie van Microsoft ontdekte [de beveiligingsonderzoeker] dat verschillende domeinnamen uit zijn sinkhole waren verdwenen." [Security.nl, 2013-06-10]

"Bij een grootschalige actie tegen cybercriminelen heeft Microsoft uiteindelijk 88% van de botnets weten uit te schakelen die gebruik van de Citadel-malware maakten." [Security.nl, 2013-07-26]

Bronnen

12/08/08

12/08/09

12/08/10

12/08/11

12/08/12

12/08/13

12/08/14

12/08/15

12/08/16

12/08/17

12/08/18

12/08/20

12/08/22

12/08/28

12/08/29

12/09/04

2012/09/23

2012/09/24

2012/09/27

2012/09/28

2012/10/02

2012/10/04

2012/10/03

2012/11/06

2013-03-30

2013-05-17

2013-06-06

2013-06-08

2013-06-10

2013-06-12

2013-07-17

2013-07-26

.