Vragen over de 500.000 domeinnamen van cybercriminelen

Volgens Infoblox is er een groep cybercriminelen die maar liefst 500.000 domeinnamen heeft klaarliggen voor de illegale activiteiten. Dat bericht over ‘Revolver Rabbit’ roept de nodige vragen op.

Dat cybercriminelen domeinnamen nodig hebben is al jaren een gegeven. Of het nu gaat om het versturen van spam of malware, dan wel het imiteren van legitieme sites, vroeg of laat is er een domeinnaam nodig, want alleen een IP-adres levert niet het gewenst resultaat.

Het registreren van een domeinnaam kostte vroeger tijd, er was een fax nodig en een handtekening. Tegenwoordig is het een online proces en dat valt natuurlijk te misbruiken. Criminelen weten met een paar klikken namen te genereren, registreren en te activeren. Dat laatste is bepalend voor het succes van veel cybercrime. Een naam mag niet te vroeg voor het lanceren van een actie bekend worden, dat dat biedt de mogelijkheid die op een blacklist te zetten.

Not Petya

De namen hardcoded in malware opnemen is evenmin een slimme zet, alleen daardoor is de impact van Not Petya “beperkt” gebleven. Sindsdien gaat malware zelf op zoek naar de domeinnamen daar het informatie van moet ophalen. Die domeinnamen liggen ergens op de plank of kunnen razendsnel geregistreerd en geactiveerd worden.

.BOND

Infoblox claimt dat van dit soort foute domeinnamen 100.000en “boven de markt” zweven, klaar om te worden losgelaten. Een groepering zou over 500.000 namen kunnen beschikken en het gros daarvan is onder het TLD .BOND.

Het verhaal zou kunnen kloppen, maar wat zegt dat over de partij die .BOND namen uitgeeft. Zou die niet in de gaten hebben dat het een vreemd soort klanten aantrekt. Als je kijkt naar de opbouw van de registraties valt direct op dat van alle namen onder .BOND van een derde (!) bekend is dat ze worden opgeheven. “Upcoming” deletes voor .TOKYO en .AMSTERDAM is minder dan 2 procent. Dat is acceptabel, niet de +29% van .BOND

Vragen

Het aantal partijen dat namens klanten .BOND namen vastlegt is beperkt. Dat betekent dus dat het betrekkelijk makkelijk moet zijn patronen te ontdekken die afwijken van wat in de legitieme business gangbaar is. En last but not least: hoe worden al die registraties betaald? Ook al is een naam maar $1,80 per jaar, bij deze aantallen domeinnamen gaat het om grote bedragen.

Kortom het verhaal over “Revolver Rabbit” roept vragen op, dit had eerder moeten opvallen en bestreden kunnen worden. Dat het schijnbaar niet het geval is kan betekenen dat er naast foute eindklanten ook foute registrars zijn en een registry die in het beste geval zit te slapen.