Hosting Ukraine Burnt Out | HostExploit

Hosting Ukraine Burnt Out | HostExploit


Hosting UA in Odessa one of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 main data centers and hosts in Ukraine is offline, due to a major fire.

Figure 1 Hosting Ua - Fire - courtesy watcher.com.ua

AS41665 HOSTING-AS National Hosting Provider, UAwith 144,384 IP addresses and was # 4 on cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 HostExploit Bad Hosts Report in December 2009 out of 34,000 ASNs (autonomous servers / hosts) compared for serving badness on cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Internet. Although in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 forthcoming HostExploit Top Bad Host report – Hosting Ua had demonstrated some improvement over cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 first quarter 2010, see forthcomingHostExploit Bad Host Report March 2010.




Figure 2 Hosting Ua - Fire - courtesy watcher.com.ua



The fire that occurred on cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 second floor Business Center Factory of Business St. Dal'nic'ka 46, Odessa occurred at around 10:00 pm local time on cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 evening on March 27th 2010. (http://watcher.com.ua). At this time cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365re has not been any official explanation as to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 cause of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 fire.

Figure 3 - Hosting UA - Offline 032810




Figure3 - shows currently Hosting UA disconnected from cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Internet. Of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 5,381 web sites tested on this network over cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 past 90 days, 291 of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 web sites served content that resulted in malicious software being downloaded and installed.


RBN – Real Host, Latvia and cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Zeus Botnet

RBN (Russian Business Network) via Real Host Ltd. is a fairly blatant cybercrime and bullet proof hosting hub. Inhabiting AS8206 Junik based in Riga, Latvia, and is high on any watch list. (ref1 & ref2)

As Dynamoo points out “A real sewer” (ref3), moreover this has all cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 hallmarks and operational elements of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 apparently fragmented RBN, eicá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r as a resurgence or a clone of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 RBN’s business model.

Fig 1 – Front page of installing cc – Zeus botnet rental & loading


Of more current interest, this is cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 base for distributing cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 new and as yet un-patched “Zero day Flash/PDF exploit” (ref 4), Zero day MS e.g. Directshow - MS09-028, and a core center for cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Zeus botnet C&C (command and control) cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 # 1 botnet in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 US with an estimated 3.6 million PCs infected.


Also known but updated usage of RBN methodologies:

# Rock Phish - which originally introduced cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Zeus (aka WSNPOEM) Trojan.

# ZeuEsta (a mix of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 ZeuS crimeware and cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 El Fiesta Exploit Kit). However, since April 17 2009 ZeuEsta in combination with SPack Exploit Kit (ref 5)


Fig 2 – iSell.cc - Stolen: Bank logins, credit cards, PayPal Sales and IDs – On Real Host





Fortunately in more recent times cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365re are several good sources within cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Open SEC community of up-to-date information as to malware domains, spam centers, botnets, to select a few:
  • Spamhaus – SBL75831 – lists cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 net block for Phishing and Malware hosting. (Ref 6.)
  • Fire - shows up to 9 complete malware servers over recent times. (Ref 7.)
  • MalwareURL – shows currently 199 domains hosting amongst ocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r badness; 18 trojans, 25 redirects to exploits and rogue anti-virus, 6 Botnet C&C (command and control) (Ref 8.)
  • Google’s Safe Browsing - shows for AS8206 Junik in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 last 90 days; 12 sites providing malicious software for drive by downloads, 102 sites acting as intermediaries for cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 infection of 11,810 ocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r web sites. Finally it found 161 websites hosting malware that infected 20,681 ocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r web sites.
  • Google’s Safe Browsing - as an example for just one of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 domains – 71.speed.info – 32 scripting exploits

The Results of Investigation and Reporting cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Issues


Fig 3 – Real Host Routing – as of 073109






Fig 4 – Real Host Routing – as of 080309

Money Mule sites - cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Barwells Group and NewskyAG reveals cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 following:

BarwellsGroup
"During cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 trial period (1 month), you will be paid 2,000 USD per month while working on average 3 hours per day, Monday-Friday, plus 5 commissions from every transactions or task received and processed. The salary will be sent in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 form of wire transfer directly to your account. After cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 trial period your base pay salary will go up to 3,500USD per month, plus 5 commissions."
Clearly this is a money mule recruitment program. Sounds pretty good for 3 hours work per day!

NewskyAG
Not only does this domain operate a money mule scam, it also ran a Zeus C&C server. What is scary is that people actually fall prey to this scheme as shown by this quote from yahoo answers:
In summary Real Host from within Junik serves;
  • exploits including un patched (or soon to be patched) 0days
  • Payloads to drop on victim PCs including: fake codecs, banking trojans, spambots, fake antivirus, down loaders and even a Mac trojan
  • phishing sites,
  • money mule recruitment sites;
  • Zeus botnet Command and Control servers
  • Distributing licensed software (Warez),
  • Illegal porn content

Added to which is a center for cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 RBN cybercrime business model;
  • botnet rental,
  • botnet loading,
  • phishing
  • iFrame exploit affiliate,
  • warez
  • credit card trading forums,
  • openly selling credit card, PayPal accounts and bank logins, over 10,000 “newly harvested”
So who is Real Host Ltd.?
To start with cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 net block is leased from Junik by Alex Spiridonov, Abay Street 2a, Almaty, Kazakhstan. However, here are just a few ocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r tell tale signs:
  • Many of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 domains are ex-Estdomains.
  • All of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 websites are in Russian or for cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 trading arm Russian / English.
  • Older entities which many had thought were dead and gone are here; Barwells Group, Newsky, Web-Alfa, and good old Botnet.Su
All of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365se were operational elements of RBN (Russian Business Network). So this may not be a reincarnation of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 RBN but are clearly Russian organized cyber criminals, in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 same vein and at least headed by someone from cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 old RBN school.

Furcá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r manual investigation led to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 following information on domains supplied by Real Hosts:

IP Domain Purpose
213.182.197.229 yourgoogleanalytics.us Money Mule Recruiting
213.182.197.229 barwellsgroup.cn Money Mule Recruiting
213.182.197.249 Vikd3jj-3.com Malware
213.182.197.251 2k90.cn Malware
213.182.197.13 Mac-videos.com Mac Trojan
213.182.197.236 71speed.info Banking Trojan - Silent Banker
213.182.197.8 bestxvids.info Zlob
213.182.197.249 traffic-searches.cn Botnet C&C
213.182.197.237 1gigabayt.com Zeus C&C
213.182.197.14 iframepartners.com iframe sellers
213.182.197.228 Chlenopopik.com Zeus C&C
213.182.197.14 Megavipsite.cn Malware
213.182.197.20 Traffcount.cn Malware
213.182.197.229 Newskyag.com Money Mule Recruiting & Zeus C&C
213.182.197.235 Traffic-exchange.ru Part of iframe redirection service
213.182.197.10 vlkontacte.ru Russian Social Network Phish
213.182.197.251 Botnet.su Zeus C&C

The Botnet.su & related installs.cc domains, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 attackers clearly aren't trying to hide cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365ir motives on this one! This domain was previously used by cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 RBN along with NewskyAG and ocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365rs. Zeus is of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 most common threats being hosted from Real Host's network.


RBN - McColo R.I.P.

RBN (Russian Business Network) in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 USA takes anocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r hit, and anocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r victory in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 war against Internet badness.

‘Alas poor McColo I knew cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365m well’ - so does anyone on cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 planet who receives email / spam.

McColo was host to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 world’s major spam botnets (an estimated 50% of spam worldwide), malware, rogue PC security products, cybercrime affiliate payment systems, and child pornography.

The study published by HostExploit.com was based on tracking and documenting cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 ongoing cyber criminal activity of McColo and ocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365rs. Get cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 report here. HostExploit Report


As a result of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 first HostExploit Cyber Crime USA report which focused on Atrivo / Intercage and subsequent community actions, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365re was a quantitative drop of 10% of spam and malware worldwide. While temporary, it does clearly demonstrate that with a concerted and consistent effort by concerned commercial Internet network operators, a safer Internet can ensue.


Following Hurricane Electric's awareness of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 report's content, at approximately 4:30pm EST 11/11/08 Hurricane Electric pulled cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 plug. Just to check on this see cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 chart from SpamCop below. Yes a huge drop in spam as just one example!




Of course not over yet -

fraudcrew.com on IP 64.62.171.193 = 193.64-62-171.reverse.mccolo.com =
net 64.62.128.0/18 =
AS6939 HURRICANE Electric. Our favorite ‘CoolWebSearch hijackers’ are still online.



Also as we see on cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 CIDR report AS26780 MCCOLO - McColo Corporation is still peered by AS3549 GBLX Global Crossing Ltd.


However, we can assume Hurricane Electric will get around to this 64.62.128.0/18 net block and GBLX is also acting in unison.

Again this is an excellent example of a growing community effort, involving a wide cross section of anti-spammers, malware and botnet researchers, journalists, and Internet network operators. When considering cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 ongoing war for cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 heart and soul of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Internet; “Not cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 end not cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 beginning of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 end, but cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 end of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 beginning”?

RBN - Farewell to EstDomains

In cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 wake of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 demise of Atrivo we now see cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 demise of EstDomains by an emboldened ICANN.



Many have shown Estdomains et. al., as a source of domain registration badness and used by cyber criminals for many years. As recently described within cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 HostExploit.com report “Atrivo - Cyber Crime USA” Sunbelt Software , Spamhaus, to name a few, and followed up by The Washington Post by Brian Krebs “A Superlative Scam and Spam Site Registrar”



Ironically EstDomains has been trying to fight back with press releases such as “EstDomains, Inc Takes Next Step in Combating Spam and Malware” with cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365m stating; “Once again EstDomains, Inc would like to address cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 interactive community and ask for co-operation to make cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Internet clear and safe.”


However, even more relevant to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 demise of EstDomains was cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 later Brian Krebs post “A Sordid History and a Storied CEO” relating to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 EstDomains CEO Vladimir Tsastsin

As of today ICANN has issued a formal and we assume irrevocable, notice of termination – see fig 2 below:




The formal letter of termination is available for download from ICANN <here> is based on court records from Estonia.




Of course what will be interesting is what happens to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 approximately 281,000 domain names under EstDomains’ management. All registrations sponsored by EstDomains will be transferred to an ICANN-Accredited Registrar in accordance with ICANN’s “De-accredited Registrar Transition Procedure”. ICANN goes on to say “It is ICANN's goal to protect registrants’ from unnecessary harm and we look forward to amicably resolving any domain name transition issues that may arise from this termination.”



Hopefully this does demonstrate an emboldened ICANN which has recently become besieged on security issues, is listening to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 community. Perhaps we could persuade ICANN to allow cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Internet security community to provide solid advice which of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365se domains is abusive before any transfer is made?