Microsoft: URIASA Retea Botnet Destructurata in Martie 2020

microsoft botnet

Microsoft a lucrat impreuna cu parteneri din 35 de tari pentru a destructura una dintre cele mai mari retele botnet de pe planeta, aceasta avand nu mai putin de 9 milioane de calculatoare infectate in intreaga lume, deci putea bloca aproape orice platforma online.

Microsoft a lucrat cu partenerii sai pentru a destructura reteaua botnet numita Necurs, iar procesul a durat nu mai putin de 8 ani de zile, deci vorbim despre o munca extrem de indelungata pe care ei au finalizat-o, aparent, cu succes.

“Astăzi, Microsoft și parteneri din 35 de țări au luat măsuri legale și tehnice coordonate pentru a întrerupe funcționarea uneia dintre cele mai prolifice rețele de botnet din lume, denumită Necurs, care a infectat global peste nouă milioane de computere. Acțiunea de dezmembrare și întrerupere a funcționării rețelei este rezultatul a opt ani de urmărire și planificare și va contribui la împiedicarea infractorilor din spatele acestei rețele de a utiliza elemente cheie ale infrastructurii pentru a întreprinde atacuri cibernetice.

Un botnet este o rețea de computere pe care infractorii cibernetici le-au infectat cu software malițios (malware). Odată infectate calculatoarele, infractorii le pot controla de la distanță și le pot folosi pentru a comite infracțiuni. Microsoft Digital Crimes Unit, BitSight și alți membri ai comunității de securitate cibernetică au observat pentru prima dată botnetul Necurs în 2012 și au remarcat că distribuie mai multe forme de malware, inclusiv trojanul bancar GameOver Zeus.

Botnetul Necurs este una dintre cele mai mari rețele din ecosistemul amenințărilor de tip spam e-mail, cu victime în aproape fiecare țară din lume. De exemplu, pe parcursul unei perioade de 58 de zile din cadrul investigației noastre, am observat că un computer infectat cu Necurs a trimis un număr total de 3,8 milioane de e-mailuri spam la peste 40,6 milioane de potențiale victime.

Se consideră că Necurs este operat de infractori din Rusia și că a fost folosit pentru o gamă largă de infracțiuni, inclusiv înșelăciuni de tip ”pump and dump stock”, trimiterea de e-mailuri spam cu farmaceutice false și spam și înșelătorii de tip „Russian dating”.A fost, de asemenea, folosit pentru a ataca alte computere pe Internet, la furt de credențiale pentru conturi online și furt de informații personale și de date confidențiale. Interesant este faptul că, se pare, infractorii din spatele Necurs vând sau închiriază accesul la computerele infectate către alți infractori cibernetici ca parte a unui serviciu de tip botnet-for-hire. Necurs este, de asemenea, cunoscut pentru distribuirea de malware cu scopuri financiare și de ransomware, cryptomining și are chiar capacitate DDoS (distributed denial of service) care nu a fost încă activată, dar ar putea fi în orice moment.

Joi, 5 martie, Curtea Districtuală a Statelor Unite din Districtul de Est al New York (U.S. District Court for the Eastern District of New York) a emis un ordin care permite Microsoft să preia controlul asupra infrastructurii localizate în S.U.A. pe care Necurs o folosește pentru a distribui malware și a infecta calculatoarele victimelor. Prin această acțiune legală și printr-un efort de colaborare care implică parteneriate public-private pe întreg globul, Microsoft derulează activități care îi vor împiedica pe infractorii cibernetici din spatele Necurs să înregistreze noi domenii internet pentru a întreprinde atacuri cibernetice în viitor.

Acest lucru a fost realizat prin analizarea unei tehnici utilizate de Necurs pentru a genera sistematic noi domenii pe baza unui algoritm. Am putut apoi să anticipăm cu exactitate peste șase milioane de domenii unice care ar urma să fie create în următoarele 25 de luni. Microsoft a raportat aceste domenii la Registrele locale respective din țări din întreaga lume, astfel încât site-urile web să poată fi blocate și să se prevină să devină parte din infrastructura Necurs. Prin preluarea controlului asupra site-urilor web existente și prin blocarea capacității de a înregistra altele noi, am perturbat semnificativ botnetul.”