Поліція Нідерландів і Національний центр кібербезпеки Нідерландів (NCSC) повідомили про відключення великого ботнету, який складався щонайменше з 17 млн заражених пристроїв. За даними поліції, 200 серверів у Нідерландах керували комп’ютерами, планшетами, смартфонами та IoT-пристроями, які могли використовуватися для кібератак.
Практичний висновок простий: відключення серверів не означає, що всі заражені пристрої автоматично стали чистими. Якщо домашній роутер, камера, телефон або Windows-ПК був втягнутий у residential proxy-ботнет, власник може й далі мати в мережі слабкі паролі, застарілу прошивку або шкідливий компонент, який потрібно знайти й прибрати.
Що саме вимкнули
Операція почалася після повідомлення дослідника безпеки до NCSC. Потім поліція й NCSC перевірили інфраструктуру, вилучили частину серверів у хостинг-провайдера, а провайдер вимкнув ботнет через його кримінальне використання. Нідерландські відомства публічно не назвали сервіс або сімейство шкідливого ПЗ, тому важливо відділяти підтверджені факти від припущень у медіа.
| Масштаб | Щонайменше 17 млн заражених пристроїв і приблизно 200 серверів керування. |
| Типи пристроїв | Комп’ютери, планшети, смартфони, роутери та інші IoT-пристрої. |
| Можливе використання | DDoS, спам, фішинг, онлайн-шахрайство та проксування трафіку через чужі IP-адреси. |
| Що ще потрібно зробити | Перевірити пристрої й мережу, бо takedown інфраструктури не є локальним очищенням. |
Чому residential proxy-ботнети небезпечні
NCSC пояснює, що під час proxyjacking злочинці використовують чужу інтернет-смугу або пристрій як проксі без згоди власника. Для жертви це означає не тільки повільнішу мережу. Її IP-адреса може з’являтися в атаках, спробах входу, спамі або інших діях, які виконували зовсім інші люди.
Це близько до сценаріїв, які ми вже описували в матеріалах про ботнет Kazuar та заражені мережеві пристрої на кшталт MooBot для роутерів D-Link. Новина з Нідерландів важлива тим, що масштабує цю проблему до мільйонів побутових пристроїв, а не лише до корпоративних серверів.
Що перевірити вдома або в малому офісі
- Оновіть роутер і IoT-пристрої. Встановіть актуальну прошивку, а пристрої без підтримки виробника краще замінити.
- Приберіть стандартні паролі. Змініть пароль адміністратора роутера, камер, NAS і панелей керування; де можливо, увімкніть MFA.
- Подивіться список підключених пристроїв. Невідомі телефони, камери або повторювачі Wi-Fi варто від’єднати до перевірки.
- Перевірте підозрілий трафік. Ознаки proxyjacking часто виглядають як незвичний вихідний трафік, скарги від сайтів, CAPTCHA або блокування IP.
- Проскануйте Windows-ПК. Якщо поруч із проблемою з’являлись фейкові завантаження, підозрілі VPN або проксі-компоненти, перевірте систему Gridinsoft Anti-Malware. Схожий ризик ми описували на прикладі Deno RAT у фейкових завантаженнях.
- Перевірте відкриті адмін-панелі. Не залишайте веб-інтерфейс роутера або контролера доступним з інтернету без потреби; патчі для мережевих пристроїв, як у випадку UniFi OS, мають встановлюватися швидко.
Оновлення по темі: Вилучення ботнету NetNut/Popa показує, чому перевірка резидентних проксі має охоплювати дешеві Android TV-бокси, sideloaded streaming apps і додатки для спільного використання bandwidth.
FAQ
Чи означає takedown, що мій пристрій уже очищений?
Ні. Відключення серверів керування обмежує можливості операторів ботнету, але не гарантує видалення шкідливих компонентів з домашнього роутера, ПК або IoT-пристрою.
Як зрозуміти, що пристрій був частиною ботнету?
Точний список жертв не опублікований. Практичні ознаки: невідомі пристрої в мережі, дивний вихідний трафік, скарги на IP-адресу, спам із вашої мережі, часті CAPTCHA або процеси/служби, які запускають проксі.
Чи потрібно домашнім користувачам щось робити?
Так, якщо в мережі є старий роутер, камери, невідомі Android-додатки, підозрілі VPN або Windows-ПК після фейкових завантажень. Мінімум — оновити прошивки, змінити паролі й просканувати комп’ютери.
References
- Politie. “Politie en NCSC halen groot botnetwerk offline.” Politie.nl, published May 28, 2026; updated May 29, 2026; accessed May 31, 2026. https://www.politie.nl/nieuws/2026/mei/28/06-politie-en-ncsc-halen-groot-botnetwerk-offline.html
- Nationaal Cyber Security Centrum. “Wat is een Botnet?” NCSC.nl, accessed May 31, 2026. https://www.ncsc.nl/malware/botnet
- Nationaal Cyber Security Centrum. “Proxyjacking en cryptojacking.” NCSC.nl, accessed May 31, 2026. https://www.ncsc.nl/malware/proxyjacking-en-cryptojacking
