Niet alle cybercriminelen die botnets inzetten waren tevreden met ZeuS en zij maakten een fork, een soort ‘open source’ platform, Citadel, gebaseerd op de Zeus-broncode. Na goedkeuring en betaling van een paar duizend dollar kunnen hackers in een community verder schaven aan verschillende features en modules.

Met dat platform zijn sinds eind 2011 een onbekend aantal, maar in elk geval tientallen, verschillende trojans gelanceerd, die hun eigen (of met elkaar overlappend) botnet van geïnfecteerde zombie PC’s creëerden.

In februari meldde Seculert al 20 verschillende botnets ‘in het wild’, afkomstig van vijf verschillende versies van Citadel. Elke versie heeft modules, die de andere botnets niet hebben. Sommige van die modules zijn door de kopers zelf ontwikkeld, andere door de community. Cybercriminelen doen hun uiterste best om de verschillende versies zo lang mogelijk onontdekt te houden.

Dorifel is nu zichtbaar, maar het netwerk groeit al weken of maanden, zich ongezien binnenwurmend op duizenden PC’s van overheidsorganisaties, bedrijven en particulieren. De reikwijdte van Dorifel lijkt beperkt, maar het smeulde al lang. Zoals Fox-IT schrijft: ‘What you should really worry about, is that there apparently was/is a trojan (ZeuS/Citadel) on your network that was doing active C&C communications and has been leaking all kinds of information from your organization for days, weeks or perhaps even months. And apparently none of your IT security defenses has removed it, has blocked it and neither has signaled you that there was something wrong on that system’.

Het aantal mutanten naast het nu geopenbaarde Dorifel is schier oneindig. Het lijkt erop dat Dorifel voortborduurt op een ‘banking trojan’ die zich richt op vooral Nederlandse bankklanten, maar Kaspersky ontdekte verschillende andere modules. Dorifel is een enigma, omdat het de ongeschreven ‘malwareregels’ met de voeten treedt. ‘Normale’ malware steelt informatie of plundert bankrekeningen, terwijl het zo lang mogelijk onder de radar blijft. Het enige dat Dorifel (tot nog toe) doet is zichzelf verspreiden en Word-, Excel- en EXE-bestanden onklaar maken door ze te versleutelen. Daarmee is het effect meteen zichtbaar voor het slachtoffer.

Ook is nog niet geheel duidelijk hoe Dorifel zich verspreidt. Er is sprake van dat de nieuwe malware zich via een reeds langer bestaand Citadel-botnet verspreidt. Maar er treden ook verse infecties op via malafide bijlages in e-mails, bericht Kaspersky. Daarnaast infecteert Dorifel andere PC’s in een netwerk door besmetting van gedeelde bestanden op netwerkshares.

Dorifel is een kortstondige, tot nog toe onverklaarde eruptie. En terwijl de securitybedrijven hun forensische labs induiken en de media nog even doormalen, zijn de cybercriminelen alweer een stap of twee verder. Met nieuwe, minder zichtbare malware die meer schade berokkent. Fox-IT constateerde dat de botnetbeheerders op een honderdtal PC’s besmet met Dorifel een nieuwe, totaal onbekende trojan: Hermes. Nog géén van de veertig bekende virusscanners herkent Hermes. Met Hermes of andere varianten is het vervolgens mogelijk om een nieuw botnet op te bouwen. Want je kunt PC’s ontsmetten van Dorifel, je kunt zelfs de C&C servers van Dorifel neerhalen, maar het moederschip, het Citadel-platform, blijft nieuwe varianten produceren.

In de tegenaanval gaan en eigenhandig de infrastructuur van Citadel hacken om het met wortel en al uit te roeien? Absoluut doen, zegt Ronald Prins. ‘Fox-IT staat te popelen, maar we kunnen het niet doen zonder toestemming van de politiek. Dit zou het moment kunnen zijn om die hele soevereiniteitsdiscussie op dit vlak eens te voeren’,aldus Prins. De Amerikanen doen het ook al. Maar het gaat zomaar niet, reageert Erik Remmelzwaal, directeur van Medusoft. De kans op ‘collateral damage’ is groot en het is een juridisch wespennest. ‘Het ‘neerhalen’ van dit systeem kan consequenties hebben voor een nietsvermoedende organisatie die ook niet te kwader trouw is. Sterker: die organisatie is net zo goed of nog wel meer slachtoffer van de malware als wij. Door het terughacken is er dus een redelijke kans dat we ons op glad ijs begeven, want welk recht beschermt ons als de partij in kwestie de schade die het loopt, komt verhalen? En als er geen recht is dat ons beschermt, wie betaalt dan de rekening? Dat de VS dit al doet, wil niet zeggen dat het een heel goed idee is’.

Diplomatieke druk op staten waar de cybercriminelen opereren klinkt suf, maar je kunt niet zomaar de soevereiniteit en het internationaal recht aan de kant zetten. Citadel is dus niet te stoppen, voorlopig.