Rutock verstuurt meer versleutelde spam

Ingezonden persbericht

News Flash

MessageLabs Intelligence ontdekt dat de Rustock-botnet meer versleutelde spam uitstuurt

Brussel, 11 maart 2010 MessageLabs Intelligence ontdekte dat spam die gebruik maakt van TLS (Transport Layer Security) onlangs sterk is toegenomen. De TLS-techniek dient om e-mails via versleutelde kanalen te versturen. Vorige week maakte ongeveer 20% van alle spam gebruik van TLS, maar momenteel is dit al ongeveer 35%. De toename van TLS-spam gaat gepaard met een sterke volumestijging van het uitgaande e-mailverkeer. De TLS-techniek vereist immers dat bij ontvangst van een versleutelde e-mail de encryptieprotocols worden gecontroleerd en dit veroorzaakt uitgaand dataverkeer. Het volume van dit verkeer is op het niveau van één Kb vaak zelfs groter dan het spambericht zelf.

Paul Wood, Senior Analyst van MessageLabs Intelligence, wijst erop dat TLS veel servercapaciteit opeist en veel meer tijd vergt dan bij het verzenden van e-mails in louter tekstformaat. Bij TLS is er zowel inkomend als uitgaand dataverkeer tussen de client die de e-mail verstuurt en de server die het bericht ontvangt. Als het uitgaande verkeer in volume groter wordt dan het spambericht, dreigen de e-mailservers van bedrijven overbelast te geraken.

Tot 70% van de spam die afkomstig is van het Rustock-botnet maakt momenteel gebruik van TLS. Of het botnet al dan niet TLS gebruikt, hangt af van de bot die op dat ogenblik actief is en niet van de spam of de ontvanger. Sommige bots van Rustock zijn momenteel in staat om TLS te gebruiken, andere niet.

"Als het spamvolume van botnets die TLS gebruiken de volgende weken en maanden toeneemt, dan moeten bedrijven nagaan of ze over voldoende middelen beschikken om dit spamtype aan te kunnen," aldus Paul Wood. "TLS is voor bedrijfsservers een dure, maar noodzakelijke techniek, maar de spam zou ze te sterk onder druk kunnen zetten. De extra belasting om één enkel spambericht met TLS te verwerken lijkt onbeduidend, maar de impact van grote aantallen dergelijke spamberichten kan enorm zijn."

Hieronder vindt u twee voorbeelden van spam van het Rustock-botnet die werden onderschept. De tekst is quasi identiek maar er zijn enkele subtiele verschillen (zie in de subject line en de URLs). De eerste gebruikt TLS de tweede niet. Onder de voorbeelden van de spam vindt u tevens een grafische visualisatie van Rustock.

()

Voorbeeld 1 Rustock spam die gebruikt maakt van TLS

()

Voorbeeld 2 Rustock spam die geen gebruikt maakt van TLS

Rustock

Kunstenaar Alex Drãgulescu heeft in opdracht van Symantec Hosted Services online bedreigingen via botnets zoals Rustock, artistiek en grafisch weergegeven. Voor bovenstaand beeld gebruikte hij de sourcecode van Rustock.

Over Symantec
Symantec is wereldwijd leider in infrastructuursoftware die bedrijven en consumenten meer vertrouwen geeft in de huidige wereld van het internet. Het bedrijf helpt klanten bij de beveiliging van hun infrastructuur, informatie en interacties door middel van software en services die een oplossing bieden voor de risico's van beveiliging, beschikbaarheid, IT-naleving en -prestaties. Het hoofdkantoor van Symantec is gevestigd in Cupertino, Californië en het bedrijf heeft vestigingen in 40 landen. Meer informatie op: www.symantec.com

###

donderdag 11 maart 2010