Microsoft współpracował z partnerami z 35 krajów, aby zniszczyć jedną z największych sieci botnetów na świecie, zawierającą nie mniej niż 9 milionów zainfekowanych komputerów na całym świecie, tak aby mogła zablokować prawie każdą platformę internetową.
Microsoft współpracował ze swoimi partnerami nad zniszczeniem sieci botnetów o nazwie Necurs, a proces ten trwał nie krócej niż 8 lat, więc mówimy o niezwykle długiej pracy, którą najwyraźniej zakończyli pomyślnie.
„Dzisiaj Microsoft i partnerzy w 35 krajach podjęli skoordynowane działania prawne i techniczne, aby zakłócić funkcjonowanie jednego z najbardziej aktywnych botnetów na świecie, zwanego Necurs, który zainfekował ponad dziewięć milionów komputerów na całym świecie. Działania mające na celu demontaż i zakłócenie działania sieci są wynikiem ośmiu lat monitorowania i planowania i pomogą uniemożliwić przestępcom stojącym za tą siecią wykorzystywanie kluczowych elementów infrastruktury do przeprowadzania cyberataków.
Botnet to sieć komputerów, które cyberprzestępcy zainfekowali złośliwym oprogramowaniem (malware). Po zainfekowaniu komputerów przestępcy mogą je zdalnie kontrolować i wykorzystywać do popełniania przestępstw. Dział ds. przestępstw cyfrowych firmy Microsoft, BitSight i inni członkowie społeczności zajmującej się cyberbezpieczeństwem po raz pierwszy zauważyli botnet Necurs w 2012 roku i zauważyli, że rozpowszechnia on kilka form złośliwego oprogramowania, w tym trojana bankowego GameOver Zeus.
Botnet Necurs to jedna z największych sieci w ekosystemie zagrożeń związanych ze spamem e-mailowym, której ofiary znajdują się w niemal każdym kraju na świecie. Na przykład w ciągu 58 dni naszego dochodzenia zaobserwowaliśmy, że komputer zainfekowany wirusem Necurs wysłał łącznie 3,8 miliona wiadomości e-mail będących spamem do ponad 40,6 miliona potencjalnych ofiar.
Uważa się, że Necurs jest obsługiwany przez przestępców w Rosji i jest wykorzystywany do szerokiego zakresu przestępstw, w tym do oszustw związanych z pompami i wysypiskami akcji, wysyłania fałszywego spamu i spamu farmaceutycznego oraz oszustw rosyjskich. randki”. Wykorzystywano go także do ataków na inne komputery w Internecie w celu kradzieży danych uwierzytelniających do kont internetowych oraz kradzieży danych osobowych i poufnych. Co ciekawe, przestępcy stojący za Necurs najwyraźniej sprzedają lub wynajmują dostęp do zainfekowanych komputerów innym cyberprzestępcom w ramach usługi botnetu do wynajęcia. Necurs jest również znany z dystrybucji złośliwego oprogramowania do celów finansowych i oprogramowania ransomware, wydobywania kryptowalut, a nawet posiada funkcję DDoS (rozproszona odmowa usługi), która nie została jeszcze aktywowana, ale może zostać aktywowana w każdej chwili.
W czwartek, 5 marca, Sąd Okręgowy Stanów Zjednoczonych dla Wschodniego Okręgu Nowego Jorku wydał postanowienie zezwalające Microsoftowi na przejęcie kontroli nad infrastrukturą zlokalizowaną w USA, wykorzystywaną przez Necurs do dystrybucji złośliwego oprogramowania i infekowania komputerów ofiar. Dzięki tym działaniom prawnym i wspólnym wysiłkom obejmującym partnerstwa publiczno-prywatne na całym świecie Microsoft podejmuje działania, które uniemożliwią cyberprzestępcom stojącym za Necurs rejestrowanie nowych domen internetowych w celu przeprowadzania przyszłych cyberataków.
Osiągnięto to poprzez analizę techniki stosowanej przez firmę Necurs do systematycznego generowania nowych domen w oparciu o algorytm. Byliśmy wówczas w stanie dokładnie przewidzieć ponad sześć milionów unikalnych domen, które zostaną utworzone w ciągu najbliższych 25 miesięcy. Firma Microsoft zgłosiła te domeny do odpowiednich lokalnych rejestrów w krajach na całym świecie, aby można było blokować witryny internetowe i zapobiegać staniu się częścią infrastruktury Necurs. Przejmując kontrolę nad istniejącymi stronami internetowymi i blokując możliwość rejestracji nowych, znacząco zakłóciliśmy działanie botnetu.”
