De duistere kant van Booters en Stressers oftewel DDoS diensten

De duistere kant van Booters en Stressers oftewel DDoS diensten

Booters of Stressers zijn diensten die vooral in de onderwereld van het hacken worden aangeboden. Dit zijn diensten die ervoor zorgen dat een bepaalde locatie op het internet heel veel verkeerd verkeer ontvangt, hieruit is de naam Stresser ontstaan. Deze dienst voert als het ware een test uit op een bepaalde locatie op het internet, om te kijken of deze veel dataverkeer aankan.

Hoewel dit soort schijnbaar legale diensten vaak voor illegale doeleinden gebruikt worden, wordt door eigenaren van deze diensten zonder gene geadverteerd. De werkelijkheid is vaak dat deze diensten worden gebruikt en ook worden opgezet op basis van door misdrijven verkregen rekenkracht of zoals men het zelf vaak aanduidt, vuurkracht.

In de regel komt het erop neer dat Booters of Stressers bestaan uit botnets die worden ingezet om een IP-adres of een http-locatie met enorme hoeveelheden verkeer te bestoken. De verschillende Booters en Stressers zijn zo ingericht dat ze de klant kunnen voorzien van verschillende aanval methoden. Zodat, wanneer de internetlocatie niet direct down gaan, er gekozen kan worden voor een ander type aanval waar de locatie op het internet mogelijk niet tegen beschermd is.

Sinds enige tijd zijn er veel bedrijven die diensten aanbieden om te beschermen tegen dit type aanval, enkele voorbeelden hiervan zijn Incapsula, Prolexic, Akamai en CloudFlare.

Collateral Damage

In het nieuws wordt de aanval waarbij een Booter of Stresser wordt gebruikt vaak aangeduid als een DDoS aanval en dergelijke aanvallen kunnen voor enorm veel schade zorgen. Zo is het bijvoorbeeld voor webshops van cruciaal belang om online te blijven. Enkele minute downtime betekent niet dat een bedrijf stil staat, maar wel dat het tot grote verliezen kan leiden.

Rondom een DDoS aanval is vaak ook nog eens heel veel ‘collateral damage’. Je kunt hierbij dan denken aan hele woonwijken die offline gaan, omdat een wijkcentrale de hoeveelheid verkeer niet aankan, maar ook hosting partijen die in het geheel offline gaan omdat de switch het verkeer niet aankan.

Enkele voorbeelden van bekende DDoS aanvallen waarbij Booters of Stressers zijn gebruikt, zijn de aanval op Ziggo, SpamHaus, London Internet Exchange of PayPal en MasterCard.

Bij RedSocks Security monitoren wij al geruime tijd alle DDoS aanvallen die plaatsvinden. Dit kunnen wij omdat deze Booters en Stressers vaak afhankelijk zijn van verkeerd geconfigureerde apparaten op het internet, het kan hierbij gaan om verkeerd geconfigureerde routers, webcams of dns servers. Als je ervoor zorgt dat jouw apparatuur wordt opgenomen in de vuurkracht van deze Booter of Stresser, is het mogelijk de commando’s binnen te zien komen wanneer er een aanval plaatsvindt. Deze informatie is een grote aanwinst voor de Threat Intelligence diensten die RedSocks levert. Op deze manier ziet RedSocks waar cybercriminelen mee bezig zijn. Het gebeurt regelmatig dat cybercriminelen proberen om elkaar offline te halen en daarmee geven ze aan het RedSocks Malware Intelligence Team prijs op welke locaties op het internet zij bezig zijn. Hierover wordt vervolgens aanvullende informatie verzameld die gebruikt kan worden voor het verrijken van de Threat Intelligence.

Niet zelden zien wij grote bekende websites voorbijkomen zoals nu.nl, kpn.nl, transip.nl en abnamro.nl waarbij vervolgens downtime wordt gemeld. Slechts in enkele gevallen wordt aan ons gevraagd om hier opvolging aan te geven (Incident Response).

>> ‘bpornstar248’        ‘Launched a VIP stress test on 145.7.170.135:80
(kpn.nl)  for 1000 using DNS’        ‘04-06-2016 06:50′

>>’bpornstar248′        ‘Launched a VIP stress test on 62.69.166.254:80 (nu.nl)
for 900 using DNS’        ‘02-06-2016 10:49′

>> ‘bpornstar248’        ‘Launched a VIP stress test on 167.202.214.30:80
(abnamro.nl)  for 500 using DNS’        ‘02-06-2016 10:52′

>> ‘bpornstar248’        ‘Launched a VIP stress test on 149.210.210.199:80
(transip.nl)  for 1000 using DNS’        ‘02-06-2016 10:52′

Nederlandse en Belgische Doelwitten

Op 8 september 2016 is Brain Krebs naar buiten gekomen met de database van een zeer bekende Booter. Deze data stelde ons instaat om de door ons verzamelde informatie te correleren met de informatie van aanvallen in deze database. Hiermee konden wij terugzien dat wij een groot deel van alle DDoS aanvallen met ons systeem hebben weten te detecteren. Maar wellicht nog belangrijker, we kunnen zien welke ‘nickname’ de DDoS aanval heeft uitgevoerd. Hieronder delen wij een bestand met de Nederlandse en Belgische doelwitten die wij hebben aangetroffen in de database en welke nickname hiervoor verantwoordelijk was.

Mocht uw bedrijf hiertussen staan, verzoeken wij u contact op te nemen met RedSocks Security. Van een groot gedeelte van de nicknames weten wij namelijk welke fysieke persoon hierachter schuil gaat. En dit biedt u mogelijkheden een strafrechtelijk onderzoek op te starten.

Nederlandse bedrijven

Belgische bedrijven

Tot slot, hieronder een aantal screenshots van de nameservers van de 4 grootste Booters en Stressers die bij ons bekend zijn. Het is opvallend dat veel Booters en Stressers gebruikmaken van diensten die worden aangeboden door partijen die juist bescherming zouden bieden tegen DDoS aanvallen.

Stressers

Booters of Stressers zijn diensten die vooral in de onderwereld van het hacken worden aangeboden. Dit zijn diensten die ervoor zorgen dat een bepaalde locatie op het internet heel veel verkeerd verkeer ontvangt, hieruit is de naam Stresser ontstaan. Deze dienst voert als het ware een test uit op een bepaalde locatie op het internet, om te kijken of deze veel dataverkeer aankan. Hoewel dit soort schijnbaar legale diensten vaak voor illegale doeleinden gebruikt worden, wordt door eigenaren van deze diensten zonder gene geadverteerd. De werkelijkheid is vaak dat deze diensten worden gebruikt en ook worden opgezet op basis van door misdrijven verkregen rekenkracht of zoals men het zelf vaak aanduidt, vuurkracht. In de regel komt het erop neer dat Booters of Stressers bestaan uit botnets die worden ingezet om een IP-adres of een http-locatie met enorme hoeveelheden verkeer te bestoken. De verschillende Booters en Stressers zijn zo ingericht dat ze de klant kunnen voorzien van verschillende aanval methoden. Zodat, wanneer de internetlocatie niet direct down gaan, er gekozen kan worden voor een ander type aanval waar de locatie op het internet mogelijk niet tegen beschermd is. Sinds enige tijd zijn er veel bedrijven die diensten aanbieden om te beschermen tegen dit type aanval, enkele voorbeelden hiervan zijn Incapsula, Prolexic, Akamai en CloudFlare. Collateral damage In het nieuws wordt de aanval waarbij een Booter of Stresser wordt gebruikt vaak aangeduid als een DDoS aanval en dergelijke aanvallen kunnen voor enorm veel schade zorgen. Zo is het bijvoorbeeld voor webshops van cruciaal belang om online te blijven. Enkele minute downtime betekent niet dat een bedrijf stil staat, maar wel dat het tot grote verliezen kan leiden. Rondom een DDoS aanval is vaak ook nog eens heel veel ‘collateral damage’. Je kunt hierbij dan denken aan hele woonwijken die offline gaan, omdat een wijkcentrale de hoeveelheid verkeer niet aankan, maar ook hosting partijen die in het geheel offline gaan omdat de switch het verkeer niet aankan. Enkele voorbeelden van bekende DDoS aanvallen waarbij Booters of Stressers zijn gebruikt, zijn de aanval op Ziggo, SpamHaus, London Internet Exchange of PayPal en MasterCard. Bij RedSocks Security monitoren wij al geruime tijd alle DDoS aanvallen die plaatsvinden. Dit kunnen wij omdat deze Booters en Stressers vaak afhankelijk zijn van verkeerd geconfigureerde apparaten op het internet, het kan hierbij gaan om verkeerd geconfigureerde routers, webcams of dns servers. Als je ervoor zorgt dat jouw apparatuur wordt opgenomen in de vuurkracht van deze Booter of Stresser, is het mogelijk de commando’s binnen te zien komen wanneer er een aanval plaatsvindt. Deze informatie is een grote aanwinst voor de Threat Intelligence diensten die RedSocks levert. Op deze manier ziet RedSocks waar cybercriminelen mee bezig zijn. Het gebeurt regelmatig dat cybercriminelen proberen om elkaar offline te halen en daarmee geven ze aan het RedSocks Malware Intelligence Team prijs op welke locaties op het internet zij bezig zijn. Hierover wordt vervolgens aanvullende informatie verzameld die gebruikt kan worden voor het verrijken van de Threat Intelligence. Niet zelden zien wij grote bekende websites voorbijkomen zoals nu.nl, kpn.nl, transip.nl en abnamro.nl waarbij vervolgens downtime wordt gemeld. Slechts in enkele gevallen wordt aan ons gevraagd om hier opvolging aan te geven (Incident Response). >> 'bpornstar248'        'Launched a VIP stress test on 145.7.170.135:80 (kpn.nl)  for 1000 using DNS'        '04-06-2016 06:50' >>'bpornstar248'        'Launched a VIP stress test on 62.69.166.254:80 (nu.nl)  for 900 using DNS'        '02-06-2016 10:49' >> 'bpornstar248'        'Launched a VIP stress test on 167.202.214.30:80 (abnamro.nl)  for 500 using DNS'        '02-06-2016 10:52' >> 'bpornstar248'        'Launched a VIP stress test on 149.210.210.199:80 (transip.nl)  for 1000 using DNS'        '02-06-2016 10:52'         Nederlandse doelwitten Op 8 september 2016 (http://krebsonsecurity.com/2016/09/israeli-online-attack-service-vdos-earned-600000-in-two-years/) is Brain Krebs naar buiten gekomen met de database van een zeer bekende Booter. Deze data stelde ons instaat om de door ons verzamelde informatie te correleren met de informatie van aanvallen in deze database. Hiermee konden wij terugzien dat wij een groot deel van alle DDoS aanvallen met ons systeem hebben weten te detecteren. Maar wellicht nog belangrijker, we kunnen zien welke ‘nickname’ de DDoS aanval heeft uitgevoerd. Hieronder delen wij een bestand met de Nederlandse en Belgische doelwitten die wij hebben aangetroffen in de database en welke nickname hiervoor verantwoordelijk was. Mocht uw bedrijf hiertussen staan, verzoeken wij u contact op te nemen met RedSocks Security. Van een groot gedeelte van de nicknames weten wij namelijk welke fysieke persoon hierachter schuil gaat. En dit biedt u mogelijkheden een strafrechtelijk onderzoek op te starten. (link naar bestanden) Nederlands bestand Belgisch bestand Tot slot, hieronder een aantal screenshots van de nameservers van de 4 grootste Booters en Stressers die bij ons bekend zijn. Het is opvallend dat veel Booters en Stressers gebruikmaken van diensten die worden aangeboden door partijen die juist bescherming zouden bieden tegen DDoS aanvallen
Booters of Stressers zijn diensten die vooral in de onderwereld van het hacken worden aangeboden. Dit zijn diensten die ervoor zorgen dat een bepaalde locatie op het internet heel veel verkeerd verkeer ontvangt, hieruit is de naam Stresser ontstaan. Deze dienst voert als het ware een test uit op een bepaalde locatie op het internet, om te kijken of deze veel dataverkeer aankan. Hoewel dit soort schijnbaar legale diensten vaak voor illegale doeleinden gebruikt worden, wordt door eigenaren van deze diensten zonder gene geadverteerd. De werkelijkheid is vaak dat deze diensten worden gebruikt en ook worden opgezet op basis van door misdrijven verkregen rekenkracht of zoals men het zelf vaak aanduidt, vuurkracht. In de regel komt het erop neer dat Booters of Stressers bestaan uit botnets die worden ingezet om een IP-adres of een http-locatie met enorme hoeveelheden verkeer te bestoken. De verschillende Booters en Stressers zijn zo ingericht dat ze de klant kunnen voorzien van verschillende aanval methoden. Zodat, wanneer de internetlocatie niet direct down gaan, er gekozen kan worden voor een ander type aanval waar de locatie op het internet mogelijk niet tegen beschermd is. Sinds enige tijd zijn er veel bedrijven die diensten aanbieden om te beschermen tegen dit type aanval, enkele voorbeelden hiervan zijn Incapsula, Prolexic, Akamai en CloudFlare. Collateral damage In het nieuws wordt de aanval waarbij een Booter of Stresser wordt gebruikt vaak aangeduid als een DDoS aanval en dergelijke aanvallen kunnen voor enorm veel schade zorgen. Zo is het bijvoorbeeld voor webshops van cruciaal belang om online te blijven. Enkele minute downtime betekent niet dat een bedrijf stil staat, maar wel dat het tot grote verliezen kan leiden. Rondom een DDoS aanval is vaak ook nog eens heel veel ‘collateral damage’. Je kunt hierbij dan denken aan hele woonwijken die offline gaan, omdat een wijkcentrale de hoeveelheid verkeer niet aankan, maar ook hosting partijen die in het geheel offline gaan omdat de switch het verkeer niet aankan. Enkele voorbeelden van bekende DDoS aanvallen waarbij Booters of Stressers zijn gebruikt, zijn de aanval op Ziggo, SpamHaus, London Internet Exchange of PayPal en MasterCard. Bij RedSocks Security monitoren wij al geruime tijd alle DDoS aanvallen die plaatsvinden. Dit kunnen wij omdat deze Booters en Stressers vaak afhankelijk zijn van verkeerd geconfigureerde apparaten op het internet, het kan hierbij gaan om verkeerd geconfigureerde routers, webcams of dns servers. Als je ervoor zorgt dat jouw apparatuur wordt opgenomen in de vuurkracht van deze Booter of Stresser, is het mogelijk de commando’s binnen te zien komen wanneer er een aanval plaatsvindt. Deze informatie is een grote aanwinst voor de Threat Intelligence diensten die RedSocks levert. Op deze manier ziet RedSocks waar cybercriminelen mee bezig zijn. Het gebeurt regelmatig dat cybercriminelen proberen om elkaar offline te halen en daarmee geven ze aan het RedSocks Malware Intelligence Team prijs op welke locaties op het internet zij bezig zijn. Hierover wordt vervolgens aanvullende informatie verzameld die gebruikt kan worden voor het verrijken van de Threat Intelligence. Niet zelden zien wij grote bekende websites voorbijkomen zoals nu.nl, kpn.nl, transip.nl en abnamro.nl waarbij vervolgens downtime wordt gemeld. Slechts in enkele gevallen wordt aan ons gevraagd om hier opvolging aan te geven (Incident Response). >> 'bpornstar248'        'Launched a VIP stress test on 145.7.170.135:80 (kpn.nl)  for 1000 using DNS'        '04-06-2016 06:50' >>'bpornstar248'        'Launched a VIP stress test on 62.69.166.254:80 (nu.nl)  for 900 using DNS'        '02-06-2016 10:49' >> 'bpornstar248'        'Launched a VIP stress test on 167.202.214.30:80 (abnamro.nl)  for 500 using DNS'        '02-06-2016 10:52' >> 'bpornstar248'        'Launched a VIP stress test on 149.210.210.199:80 (transip.nl)  for 1000 using DNS'        '02-06-2016 10:52'         Nederlandse doelwitten Op 8 september 2016 (http://krebsonsecurity.com/2016/09/israeli-online-attack-service-vdos-earned-600000-in-two-years/) is Brain Krebs naar buiten gekomen met de database van een zeer bekende Booter. Deze data stelde ons instaat om de door ons verzamelde informatie te correleren met de informatie van aanvallen in deze database. Hiermee konden wij terugzien dat wij een groot deel van alle DDoS aanvallen met ons systeem hebben weten te detecteren. Maar wellicht nog belangrijker, we kunnen zien welke ‘nickname’ de DDoS aanval heeft uitgevoerd. Hieronder delen wij een bestand met de Nederlandse en Belgische doelwitten die wij hebben aangetroffen in de database en welke nickname hiervoor verantwoordelijk was. Mocht uw bedrijf hiertussen staan, verzoeken wij u contact op te nemen met RedSocks Security. Van een groot gedeelte van de nicknames weten wij namelijk welke fysieke persoon hierachter schuil gaat. En dit biedt u mogelijkheden een strafrechtelijk onderzoek op te starten. (link naar bestanden) Nederlands bestand Belgisch bestand Tot slot, hieronder een aantal screenshots van de nameservers van de 4 grootste Booters en Stressers die bij ons bekend zijn. Het is opvallend dat veel Booters en Stressers gebruikmaken van diensten die worden aangeboden door partijen die juist bescherming zouden bieden tegen DDoS aanvallen 2

Booters

Booters of Stressers zijn diensten die vooral in de onderwereld van het hacken worden aangeboden. Dit zijn diensten die ervoor zorgen dat een bepaalde locatie op het internet heel veel verkeerd verkeer ontvangt, hieruit is de naam Stresser ontstaan. Deze dienst voert als het ware een test uit op een bepaalde locatie op het internet, om te kijken of deze veel dataverkeer aankan. Hoewel dit soort schijnbaar legale diensten vaak voor illegale doeleinden gebruikt worden, wordt door eigenaren van deze diensten zonder gene geadverteerd. De werkelijkheid is vaak dat deze diensten worden gebruikt en ook worden opgezet op basis van door misdrijven verkregen rekenkracht of zoals men het zelf vaak aanduidt, vuurkracht. In de regel komt het erop neer dat Booters of Stressers bestaan uit botnets die worden ingezet om een IP-adres of een http-locatie met enorme hoeveelheden verkeer te bestoken. De verschillende Booters en Stressers zijn zo ingericht dat ze de klant kunnen voorzien van verschillende aanval methoden. Zodat, wanneer de internetlocatie niet direct down gaan, er gekozen kan worden voor een ander type aanval waar de locatie op het internet mogelijk niet tegen beschermd is. Sinds enige tijd zijn er veel bedrijven die diensten aanbieden om te beschermen tegen dit type aanval, enkele voorbeelden hiervan zijn Incapsula, Prolexic, Akamai en CloudFlare. Collateral damage In het nieuws wordt de aanval waarbij een Booter of Stresser wordt gebruikt vaak aangeduid als een DDoS aanval en dergelijke aanvallen kunnen voor enorm veel schade zorgen. Zo is het bijvoorbeeld voor webshops van cruciaal belang om online te blijven. Enkele minute downtime betekent niet dat een bedrijf stil staat, maar wel dat het tot grote verliezen kan leiden. Rondom een DDoS aanval is vaak ook nog eens heel veel ‘collateral damage’. Je kunt hierbij dan denken aan hele woonwijken die offline gaan, omdat een wijkcentrale de hoeveelheid verkeer niet aankan, maar ook hosting partijen die in het geheel offline gaan omdat de switch het verkeer niet aankan. Enkele voorbeelden van bekende DDoS aanvallen waarbij Booters of Stressers zijn gebruikt, zijn de aanval op Ziggo, SpamHaus, London Internet Exchange of PayPal en MasterCard. Bij RedSocks Security monitoren wij al geruime tijd alle DDoS aanvallen die plaatsvinden. Dit kunnen wij omdat deze Booters en Stressers vaak afhankelijk zijn van verkeerd geconfigureerde apparaten op het internet, het kan hierbij gaan om verkeerd geconfigureerde routers, webcams of dns servers. Als je ervoor zorgt dat jouw apparatuur wordt opgenomen in de vuurkracht van deze Booter of Stresser, is het mogelijk de commando’s binnen te zien komen wanneer er een aanval plaatsvindt. Deze informatie is een grote aanwinst voor de Threat Intelligence diensten die RedSocks levert. Op deze manier ziet RedSocks waar cybercriminelen mee bezig zijn. Het gebeurt regelmatig dat cybercriminelen proberen om elkaar offline te halen en daarmee geven ze aan het RedSocks Malware Intelligence Team prijs op welke locaties op het internet zij bezig zijn. Hierover wordt vervolgens aanvullende informatie verzameld die gebruikt kan worden voor het verrijken van de Threat Intelligence. Niet zelden zien wij grote bekende websites voorbijkomen zoals nu.nl, kpn.nl, transip.nl en abnamro.nl waarbij vervolgens downtime wordt gemeld. Slechts in enkele gevallen wordt aan ons gevraagd om hier opvolging aan te geven (Incident Response). >> 'bpornstar248'        'Launched a VIP stress test on 145.7.170.135:80 (kpn.nl)  for 1000 using DNS'        '04-06-2016 06:50' >>'bpornstar248'        'Launched a VIP stress test on 62.69.166.254:80 (nu.nl)  for 900 using DNS'        '02-06-2016 10:49' >> 'bpornstar248'        'Launched a VIP stress test on 167.202.214.30:80 (abnamro.nl)  for 500 using DNS'        '02-06-2016 10:52' >> 'bpornstar248'        'Launched a VIP stress test on 149.210.210.199:80 (transip.nl)  for 1000 using DNS'        '02-06-2016 10:52'         Nederlandse doelwitten Op 8 september 2016 (http://krebsonsecurity.com/2016/09/israeli-online-attack-service-vdos-earned-600000-in-two-years/) is Brain Krebs naar buiten gekomen met de database van een zeer bekende Booter. Deze data stelde ons instaat om de door ons verzamelde informatie te correleren met de informatie van aanvallen in deze database. Hiermee konden wij terugzien dat wij een groot deel van alle DDoS aanvallen met ons systeem hebben weten te detecteren. Maar wellicht nog belangrijker, we kunnen zien welke ‘nickname’ de DDoS aanval heeft uitgevoerd. Hieronder delen wij een bestand met de Nederlandse en Belgische doelwitten die wij hebben aangetroffen in de database en welke nickname hiervoor verantwoordelijk was. Mocht uw bedrijf hiertussen staan, verzoeken wij u contact op te nemen met RedSocks Security. Van een groot gedeelte van de nicknames weten wij namelijk welke fysieke persoon hierachter schuil gaat. En dit biedt u mogelijkheden een strafrechtelijk onderzoek op te starten. (link naar bestanden) Nederlands bestand Belgisch bestand Tot slot, hieronder een aantal screenshots van de nameservers van de 4 grootste Booters en Stressers die bij ons bekend zijn. Het is opvallend dat veel Booters en Stressers gebruikmaken van diensten die worden aangeboden door partijen die juist bescherming zouden bieden tegen DDoS aanvallen 3
Booters of Stressers zijn diensten die vooral in de onderwereld van het hacken worden aangeboden. Dit zijn diensten die ervoor zorgen dat een bepaalde locatie op het internet heel veel verkeerd verkeer ontvangt, hieruit is de naam Stresser ontstaan. Deze dienst voert als het ware een test uit op een bepaalde locatie op het internet, om te kijken of deze veel dataverkeer aankan. Hoewel dit soort schijnbaar legale diensten vaak voor illegale doeleinden gebruikt worden, wordt door eigenaren van deze diensten zonder gene geadverteerd. De werkelijkheid is vaak dat deze diensten worden gebruikt en ook worden opgezet op basis van door misdrijven verkregen rekenkracht of zoals men het zelf vaak aanduidt, vuurkracht. In de regel komt het erop neer dat Booters of Stressers bestaan uit botnets die worden ingezet om een IP-adres of een http-locatie met enorme hoeveelheden verkeer te bestoken. De verschillende Booters en Stressers zijn zo ingericht dat ze de klant kunnen voorzien van verschillende aanval methoden. Zodat, wanneer de internetlocatie niet direct down gaan, er gekozen kan worden voor een ander type aanval waar de locatie op het internet mogelijk niet tegen beschermd is. Sinds enige tijd zijn er veel bedrijven die diensten aanbieden om te beschermen tegen dit type aanval, enkele voorbeelden hiervan zijn Incapsula, Prolexic, Akamai en CloudFlare. Collateral damage In het nieuws wordt de aanval waarbij een Booter of Stresser wordt gebruikt vaak aangeduid als een DDoS aanval en dergelijke aanvallen kunnen voor enorm veel schade zorgen. Zo is het bijvoorbeeld voor webshops van cruciaal belang om online te blijven. Enkele minute downtime betekent niet dat een bedrijf stil staat, maar wel dat het tot grote verliezen kan leiden. Rondom een DDoS aanval is vaak ook nog eens heel veel ‘collateral damage’. Je kunt hierbij dan denken aan hele woonwijken die offline gaan, omdat een wijkcentrale de hoeveelheid verkeer niet aankan, maar ook hosting partijen die in het geheel offline gaan omdat de switch het verkeer niet aankan. Enkele voorbeelden van bekende DDoS aanvallen waarbij Booters of Stressers zijn gebruikt, zijn de aanval op Ziggo, SpamHaus, London Internet Exchange of PayPal en MasterCard. Bij RedSocks Security monitoren wij al geruime tijd alle DDoS aanvallen die plaatsvinden. Dit kunnen wij omdat deze Booters en Stressers vaak afhankelijk zijn van verkeerd geconfigureerde apparaten op het internet, het kan hierbij gaan om verkeerd geconfigureerde routers, webcams of dns servers. Als je ervoor zorgt dat jouw apparatuur wordt opgenomen in de vuurkracht van deze Booter of Stresser, is het mogelijk de commando’s binnen te zien komen wanneer er een aanval plaatsvindt. Deze informatie is een grote aanwinst voor de Threat Intelligence diensten die RedSocks levert. Op deze manier ziet RedSocks waar cybercriminelen mee bezig zijn. Het gebeurt regelmatig dat cybercriminelen proberen om elkaar offline te halen en daarmee geven ze aan het RedSocks Malware Intelligence Team prijs op welke locaties op het internet zij bezig zijn. Hierover wordt vervolgens aanvullende informatie verzameld die gebruikt kan worden voor het verrijken van de Threat Intelligence. Niet zelden zien wij grote bekende websites voorbijkomen zoals nu.nl, kpn.nl, transip.nl en abnamro.nl waarbij vervolgens downtime wordt gemeld. Slechts in enkele gevallen wordt aan ons gevraagd om hier opvolging aan te geven (Incident Response). >> 'bpornstar248'        'Launched a VIP stress test on 145.7.170.135:80 (kpn.nl)  for 1000 using DNS'        '04-06-2016 06:50' >>'bpornstar248'        'Launched a VIP stress test on 62.69.166.254:80 (nu.nl)  for 900 using DNS'        '02-06-2016 10:49' >> 'bpornstar248'        'Launched a VIP stress test on 167.202.214.30:80 (abnamro.nl)  for 500 using DNS'        '02-06-2016 10:52' >> 'bpornstar248'        'Launched a VIP stress test on 149.210.210.199:80 (transip.nl)  for 1000 using DNS'        '02-06-2016 10:52'         Nederlandse doelwitten Op 8 september 2016 (http://krebsonsecurity.com/2016/09/israeli-online-attack-service-vdos-earned-600000-in-two-years/) is Brain Krebs naar buiten gekomen met de database van een zeer bekende Booter. Deze data stelde ons instaat om de door ons verzamelde informatie te correleren met de informatie van aanvallen in deze database. Hiermee konden wij terugzien dat wij een groot deel van alle DDoS aanvallen met ons systeem hebben weten te detecteren. Maar wellicht nog belangrijker, we kunnen zien welke ‘nickname’ de DDoS aanval heeft uitgevoerd. Hieronder delen wij een bestand met de Nederlandse en Belgische doelwitten die wij hebben aangetroffen in de database en welke nickname hiervoor verantwoordelijk was. Mocht uw bedrijf hiertussen staan, verzoeken wij u contact op te nemen met RedSocks Security. Van een groot gedeelte van de nicknames weten wij namelijk welke fysieke persoon hierachter schuil gaat. En dit biedt u mogelijkheden een strafrechtelijk onderzoek op te starten. (link naar bestanden) Nederlands bestand Belgisch bestand Tot slot, hieronder een aantal screenshots van de nameservers van de 4 grootste Booters en Stressers die bij ons bekend zijn. Het is opvallend dat veel Booters en Stressers gebruikmaken van diensten die worden aangeboden door partijen die juist bescherming zouden bieden tegen DDoS aanvallen 4
Back to overview