Nieuwe servers in Dorifelnetwerk ontdekt

AMSTERDAM – NU.nl heeft bij onderzoek naar het Dorifelvirus twee nieuwe servers ontdekt. De machines worden gebruikt om virussen te verspreiden en bankgegevens te stelen.

De servers werden ontdekt tijdens aanvullend technisch onderzoek naar het botnet, een computernetwerk van geïnfecteerde computers, waardoor het Dorifel zich verspreidt.

Zaterdag werd duidelijk dat binnen het botnet ook een netwerk actief is dat probeert bankgegevens te stelen. Bij het nalopen van sporen naar dit netwerk doken twee nieuwe servers op.

De originele server die Dorifel verspreidde en het botnet aanstuurde werd offline gehaald door het Nationaal Cyber Security Centrum (NCSC).

Bankgegevens

Er zijn inmiddels echter nieuwe servers actief die zich in hetzelfde botnet bevinden en ongeveer een maand actief zijn. Ze bevatten publiek toegankelijke logboeken, waaruit blijkt dat er bankgegevens worden gestolen. Ook worden de servers zeer waarschijnlijk ingezet voor het verder verspreiden van virussen.

Het Dorifelvirus, dat sinds augustus veel Nederlandse overheidsinstellingen en bedrijfen plaagt, was zo geschreven dat na het neerhalen van de servers er andere computers als 'moederschip' konden worden aangewezen.

Virus verspreiden

Op die manier kunnen virussen verspreid blijven worden. Uit het onderzoek kon niet bevestigd worden dat de nieuwe servers ook daadwerkelijk ingericht zijn om het virus van opdrachten of nieuwe software te voorzien.

Op de twee computers zijn in ieder geval beveiligingscertificaten aangetroffen, die slachtoffers de indruk moeten geven op een veilige website te zijn. De webbrowser laat merken dat het 'auth-bank.org'-adres correct is. Alleen blijkt dit geen domein te zijn dat toebehoort aan een bank.

Blokkeren

Beveiligingsexpert Jordy de Jong, die NU.nl ondersteunt bij aanvullend onderzoek, benadrukt dat het belangrijk is voor organisaties en bedrijven om de IP-adressen '184.82.107.86' en '184.82.107.87' te blokkeren. "De servers worden niet voor goede doeleinden ingezet en hebben alle sporen van oplichting", stelt hij tegenover NU.nl.

Het virus Dorifel is erop gericht om netwerken van organisaties te infecteren en zichzelf bij te werken tot nieuwe functies. Anderzijds blijkt er op dezelfde server een op particulieren gerichte actie te zijn om bankinformatie te verzamelen.

Wat doet het Dorifelvirus en hoe kan het verwijderd worden?

Lees meer over:
Tip de redactie