Spamhaus geeft update botnets en wijst naar Google

Twee weken terug heeft Spamhaus verslag gedaan over botnets in het eerste kwartaal van dit jaar en in die update speelt Google een prominente rol. Andere min of meer beruchte partijen vallen juist in positieve zin op. Uitleg daarover is ook op de website van de organisatie te lezen.

Reguliere rapportage

De rapportage van Spamhaus is een reguliere. Op deze manier de markt informeren over het aantal botnets, waar ze gehost worden en waar niet meer doet het al jaren.

VPN provider

Spamhaus zegt weinig over het aantal botnets. Het wijst wel op het aantal botnet Command & Controllers (C&Cs) die er voor zorgen dat de botnets überhaupt iets kunnen doen. Het aantal C&Cs is schijnbaar de eerste twee maanden van 2020 fors gedaald. In maart is dan weer een toename gesignaleerd.

Voor zowel die daling als toename heeft Spamhaus geen verklaring. Het schrijft dat er een link kan zijn met een VPN provider “who refuses to take action on abuse reports and is failing to shut down traffic from existing botnet C&Cs.” Opvallend is dat die opmerking niet door de pers is opgepakt. Het aantal VPN aanbieders groeit nog steeds, maar dat het hier om een nieuwe toetreder gaat lijkt onwaarschijnlijk.

De meeste C&Cs zijn volgens Spamhaus tegenwoordig weer in de VS te vinden. Rusland is niet langer de nummer een. Dat in Rusland het aantal en aanbod van VPN providers onder druk staat zegt men niet, maar het is wel elders opgemerkt. Dat kan verklaren waarom de VS nu meer in trek is voor C&C beheerders, daar is het gebruik van VPN’s vooralsnog niet aan banden gelegd.

Cloud providers

Er is overigens nog een reden waarom de VS in deze rapportage extra opvalt. Google heet de een na grootste hoster van botnet C&C infra te zijn. De reden daarvoor wordt onomwonden genoemd: Google reageert extreem traag op abuse meldingen. Dat zal iedere cybercrimineel inmiddels bekend zijn en dat heeft gevolgen.

Why bother looking for a shady and expensive bulletproof hosting provider when you can host your botnet infrastructure reliably and at minimal cost at Google?

Deze forse kritiek staat bijna haaks op wat Spamhaus over AWS schrijft. Daar staat sinds een paar maanden eindelijk poort 25 dicht. Gevolg is een waarneembare daling van het wereldwijde spamvolume. Dat is uiteraard niet hetzelfde als het oprollen van botnets. Het geeft wel aan dat ook de hyperscalers iets moeten doen en als ze dat doen heeft dat direct meetbare gevolgen.

Nederland

Nederland wordt drie keer genoemd in de rapportage. Het is om te beginnen na de VS en Rusland de derde plek voor het aantal C&Cs. Met zoveel datacenters (ook de van hyperscalers!) is een hoge ranking waarschijnlijk onvermijdelijk. Hosting Concepts is nu niet meer de 3^e meest misbruikte registrar of registrar zonder controle. Het staat nu op een 7^e plek. Dat Leaseweb in dit overzicht staat zal niemand verbazen. Deze keer is het aantal C&Cs goed voor een 12^e plek in de ranking – het is wel eens slechter geweest.