Duizenden computers overheid in botnet

Afbeelding: Toxic van John Morgan | Licentie: CC BY 2.0

Duizenden computers bij de overheid zijn besmet met de Zeus/Citadel trojan. Dat wordt duidelijk nadat een nieuwe virus via het botnet is verspreid.

Waarschuwingsdienst.nl schrijft in Malware besmetting infecteert office bestanden (update):

Er is een toenemend aantal infecties in Nederland waargenomen van de XDocCrypt/Dorifel malware. De infectie zorgt er voor dat Microsoft Excel en Word documenten vervangen worden door een virusbestand met het originele icoontje van het originele bestand. Door dit virus worden de geïnfecteerde bestanden onbruikbaar. Het virus verspreidt zich bij het aanklikken van een geïnfecteerd bestand. […]

De XDocCrypt malware werd geïnstalleerd op systemen die al geïnfecteerd waren met het Citadel/Zeus virus. Dit is een virus dat bekend staat als een banking trojan, en is gemaakt om bank- en inloggegevens te stelen. […]

In het artikel Virus bij gemeenten toch van Citadel-botnet schrijft Webwereld:

De genoemde vier gemeenten zijn niet getroffen door het Trojaanse paard Sasfis, maar een virus dat daarmee overeenkomsten heeft. Het betreffende virus wordt door het NCSC Dorifel genoemd, maar Microsoft hanteert QuervarB als naam. Het infecteert Word en Excel documenten, maar ook uitvoeringsbestanden. […] Het virus versleutelt de bestanden en past de naam iets aan. De versleuteling is relatief simpel doordat er gebruik wordt gemaakt van een en dezelfde sleutel, meldt NU.nl.  […]

De site Damn Those Problems zegt evenwel dat de werkwijze van de malware enigszins lijkt op die van Sasfis. Beide gebruiken de RTLO-techniek, the right to left override. De extensie van de besmette files, in het geval van Dorifel .src, wordt daarmee achterstevoren weergegeven net als de echte extensie van de originele bestanden, zoals .doc. Het RTLO unicode-gat maakt gebruik van een standaard unicode van Microsoft wat gebruikt wordt in Arabische en Hebreeuwse teksten.

Fox-IT blogt in XDocCrypt/Dorifel – Document encrypting and network spreading virus:

Should you worry about all those encrypted document files on your network…, what you should really worry about, is that there apparently was/is a trojan (ZeuS/Citadel) on your network that was doing active C&C communications and has been leaking all kinds of information from your organization for days, weeks or perhaps even months. […]

The interesting thing with this attack is that it appears to target NL pretty badly with over 2200 infections during the night, with the majority of the infections taking place in The Netherlands and only around 100 in Denmark and only few in other countries.

Webwereld schrijft in Duizenden overheidscomputers nog steeds in botnet:

Het Citadelbotnet dat naar nu blijkt duizenden computers bij gemeenten, provincies en de Universiteit van Amsterdam heeft gekaapt, is nog steeds actief nadat de overheden en andere instellingen vandaag druk waren met de bestrijding van een virus dat duizenden Word- en Exceldocumenten heeft besmet. Die virusuitbraak is nu bij de meeste gemeenten onder controle, maar het grootste gevaar is daardoor nog niet geweken.

Het Citadelbotnet is immers nog niet aangepakt. Sterker nog, gemeenten weten niet waar ze de besmetting moeten zoeken en hoe die dan moet worden aangepakt.

Een update van het laatste artikel vermeldt:

het aantal meldingen van besmettingen met het Donifelvirus, dat vrijwel zeker is gedownload door de Citadel-botnetmalware dat op pc’s staat, breidt zich gestadig uit. Het ministerie van Onderwijs, Cultuur en Wetenschappen is eveneens besmet, meldt Teletekst.

Eerder waren er meldingen vanuit de gemeenten Nieuwegein, Buren, Stedebroec, Weert, Venlo, Borsele, Den Bosch, Almere, Tilburg, de provincies Noord-Holland en Noord-Brabant, de universiteiten van Amsterdam en Utrecht, Westland Infra en het RIVM.