Nederland is grootste hostinghub voor cybercriminele servers
Beveiligingsbedrijf Sophos heeft recent onderzoek gedaan naar meerdere WantToCry-ransomware-incidenten waaruit blijkt dat duizenden criminele servers gebruikmaken van dezelfde infrastructuur en dat deze infrastructuur vooral gehost wordt in Nederland.
Het volledige onderzoek is hier te lezen. Mocht je graag meer informatie willen over dit onderzoek, breng ik je graag in contact met Aiden Sinnott, Principal Threat Researcher bij Sophos.
Sophos vond onder meer dat alle onderzochte servers dezelfde automatisch gegenereerde Windowds-hostnamen hebben. Deze hostnamen duiken steeds weer op in verschillende incidenten. Nederland blijkt daarbij een van de grootste Europese hostinghubs te zijn. Volgens Aiden Sinnott komt dat door onze strategische en centrale ligging op belangrijke internetknooppunten (AMS-IX, DE-CIX) en robuuste, duurzame digitale infrastructuur.
Andere belangrijke bevindingen uit het onderzoek zijn:
Hergebruikte VM-hostnamen maken tracering mogelijk: duizenden virtuele machines van ISPsystem delen statische hostnamen, waarvan vele gelinkt zijn aan ransomware- en malwarecampagnes.
Weinig providers domineren: de meeste getroffen VM's worden gehost door een klein aantal providers, waarvan sommige verbonden zijn aan door de staat gesponsorde of cybercriminele activiteiten.
Misbruik van bulletproof hosting: diensten zoals MasterRDP verhuren deze VM's aan criminelen, die misbruik maken van de legitieme infrastructuur van ISPsystem.
Meer over Security
Over Witold Kepinski
