Ботнет на 17 млн пристроїв вимкнули

Поліція Нідерландів і NCSC відключили ботнет із щонайменше 17 млн заражених пристроїв. Ось що перевірити на ПК, роутері й IoT-пристроях.

Ботнет на 17 мільйонів пристроїв вимкнено після операції в Нідерландах

Поліція Нідерландів і Національний центр кібербезпеки Нідерландів (NCSC) повідомили про відключення великого ботнету, який складався щонайменше з 17 млн заражених пристроїв. За даними поліції, 200 серверів у Нідерландах керували комп’ютерами, планшетами, смартфонами та IoT-пристроями, які могли використовуватися для кібератак.

Практичний висновок простий: відключення серверів не означає, що всі заражені пристрої автоматично стали чистими. Якщо домашній роутер, камера, телефон або Windows-ПК був втягнутий у residential proxy-ботнет, власник може й далі мати в мережі слабкі паролі, застарілу прошивку або шкідливий компонент, який потрібно знайти й прибрати.

Що саме вимкнули

Операція почалася після повідомлення дослідника безпеки до NCSC. Потім поліція й NCSC перевірили інфраструктуру, вилучили частину серверів у хостинг-провайдера, а провайдер вимкнув ботнет через його кримінальне використання. Нідерландські відомства публічно не назвали сервіс або сімейство шкідливого ПЗ, тому важливо відділяти підтверджені факти від припущень у медіа.

МасштабЩонайменше 17 млн заражених пристроїв і приблизно 200 серверів керування.
Типи пристроївКомп’ютери, планшети, смартфони, роутери та інші IoT-пристрої.
Можливе використанняDDoS, спам, фішинг, онлайн-шахрайство та проксування трафіку через чужі IP-адреси.
Що ще потрібно зробитиПеревірити пристрої й мережу, бо takedown інфраструктури не є локальним очищенням.

Чому residential proxy-ботнети небезпечні

NCSC пояснює, що під час proxyjacking злочинці використовують чужу інтернет-смугу або пристрій як проксі без згоди власника. Для жертви це означає не тільки повільнішу мережу. Її IP-адреса може з’являтися в атаках, спробах входу, спамі або інших діях, які виконували зовсім інші люди.

Це близько до сценаріїв, які ми вже описували в матеріалах про ботнет Kazuar та заражені мережеві пристрої на кшталт MooBot для роутерів D-Link. Новина з Нідерландів важлива тим, що масштабує цю проблему до мільйонів побутових пристроїв, а не лише до корпоративних серверів.

Що перевірити вдома або в малому офісі

  1. Оновіть роутер і IoT-пристрої. Встановіть актуальну прошивку, а пристрої без підтримки виробника краще замінити.
  2. Приберіть стандартні паролі. Змініть пароль адміністратора роутера, камер, NAS і панелей керування; де можливо, увімкніть MFA.
  3. Подивіться список підключених пристроїв. Невідомі телефони, камери або повторювачі Wi-Fi варто від’єднати до перевірки.
  4. Перевірте підозрілий трафік. Ознаки proxyjacking часто виглядають як незвичний вихідний трафік, скарги від сайтів, CAPTCHA або блокування IP.
  5. Проскануйте Windows-ПК. Якщо поруч із проблемою з’являлись фейкові завантаження, підозрілі VPN або проксі-компоненти, перевірте систему Gridinsoft Anti-Malware. Схожий ризик ми описували на прикладі Deno RAT у фейкових завантаженнях.
  6. Перевірте відкриті адмін-панелі. Не залишайте веб-інтерфейс роутера або контролера доступним з інтернету без потреби; патчі для мережевих пристроїв, як у випадку UniFi OS, мають встановлюватися швидко.

Оновлення по темі: Вилучення ботнету NetNut/Popa показує, чому перевірка резидентних проксі має охоплювати дешеві Android TV-бокси, sideloaded streaming apps і додатки для спільного використання bandwidth.

FAQ

Чи означає takedown, що мій пристрій уже очищений?

Ні. Відключення серверів керування обмежує можливості операторів ботнету, але не гарантує видалення шкідливих компонентів з домашнього роутера, ПК або IoT-пристрою.

Як зрозуміти, що пристрій був частиною ботнету?

Точний список жертв не опублікований. Практичні ознаки: невідомі пристрої в мережі, дивний вихідний трафік, скарги на IP-адресу, спам із вашої мережі, часті CAPTCHA або процеси/служби, які запускають проксі.

Чи потрібно домашнім користувачам щось робити?

Так, якщо в мережі є старий роутер, камери, невідомі Android-додатки, підозрілі VPN або Windows-ПК після фейкових завантажень. Мінімум — оновити прошивки, змінити паролі й просканувати комп’ютери.

References

  1. Politie. “Politie en NCSC halen groot botnetwerk offline.” Politie.nl, published May 28, 2026; updated May 29, 2026; accessed May 31, 2026. https://www.politie.nl/nieuws/2026/mei/28/06-politie-en-ncsc-halen-groot-botnetwerk-offline.html
  2. Nationaal Cyber Security Centrum. “Wat is een Botnet?” NCSC.nl, accessed May 31, 2026. https://www.ncsc.nl/malware/botnet
  3. Nationaal Cyber Security Centrum. “Proxyjacking en cryptojacking.” NCSC.nl, accessed May 31, 2026. https://www.ncsc.nl/malware/proxyjacking-en-cryptojacking

Пишу про те, як зробити життя онлайн комфортним і безпечним. Вірю, що сучасний цифровий світ вартий того, щоб бути його частиною.