Microsoft atacă reţeaua de botnet Necurs
0Microsoft şi parteneri din 35 de ţări au luat măsuri legale şi tehnice coordonate pentru a întrerupe funcţionarea uneia dintre cele mai prolifice reţele de botnet din lume, denumită Necurs, care a infectat global peste nouă milioane de computere.
Acţiunea de dezmembrare şi întrerupere a funcţionării reţelei este rezultatul a opt ani de urmărire şi planificare şi va contribui la împiedicarea infractorilor din spatele acestei reţele de a utiliza elemente cheie ale infrastructurii pentru a întreprinde atacuri cibernetice.
Un botnet este o reţea de computere pe care infractorii cibernetici le-au infectat cu software vătămător (malware). Odată infectate calculatoarele, infractorii le pot controla de la distanţă şi le pot folosi pentru a comite infracţiuni. Microsoft Digital Crimes Unit, BitSight şi alţi membri ai comunităţii de securitate cibernetică au observat pentru prima dată botnetul Necurs în 2012 şi au remarcat că distribuie mai multe forme de malware, inclusiv trojanul bancar GameOver Zeus.
Botnetul Necurs este una dintre cele mai mari reţele din ecosistemul ameninţărilor de tip spam e-mail, cu victime în aproape fiecare ţară din lume. Pe parcursul unei perioade de 58 de zile din cadrul investigaţiei Microsoft, s-a observat că un computer infectat cu Necurs a trimis un număr total de 3.8 milioane de e-mailuri spam la peste 40.6 milioane de potenţiale victime.
Microsoft consideră că Necurs este operat de infractori din Rusia şi că a fost folosit pentru o gamă largă de infracţiuni, inclusiv înşelăciuni de tip ”pump and dump stock”, trimiterea de e-mailuri spam cu farmaceutice false şi spam şi înşelătorii de tip „Russian dating”.A fost, de asemenea, folosit pentru a ataca alte computere pe Internet, la furt de conturi online şi furt de informaţii personale şi de date confidenţiale. Infractorii din spatele Necurs vând sau închiriază accesul la computerele infectate către alţi infractori cibernetici ca parte a unui serviciu de tip botnet-for-hire. Necurs este, de asemenea, cunoscut pentru distribuirea de malware cu scopuri financiare şi de ransomware, cryptomining şi are chiar capacitate DDoS (distributed denial of service) care nu a fost încă activată, dar ar putea fi în orice moment.
Joi, 5 martie, Curtea Districtuală a Statelor Unite din Districtul de Est al New York (U.S. District Court for the Eastern District of New York) a emis un ordin care permite Microsoft să preia controlul asupra infrastructurii localizate în S.U.A. pe care Necurs o foloseşte pentru a distribui malware şi a infecta calculatoarele victimelor. Prin această acţiune legală şi printr-un efort de colaborare care implică parteneriate public-private pe întreg globul, Microsoft derulează activităţi care îi vor împiedica pe infractorii cibernetici din spatele Necurs să înregistreze noi domenii internet pentru a întreprinde atacuri cibernetice în viitor.
Acest lucru a fost realizat prin analizarea unei tehnici utilizate de Necurs pentru a genera sistematic noi domenii pe baza unui algoritm. Microsoft a anticipat cu exactitate peste şase milioane de domenii unice, care urmau să fie create în următoarele 25 de luni. Microsoft a raportat aceste domenii la Registrele locale respective din ţări din întreaga lume, astfel încât site-urile web să poată fi blocate şi să se prevină să devină parte din infrastructura Necurs. Prin preluarea controlului asupra site-urilor web existente şi prin blocarea capacităţii de a înregistra altele noi, a fost perturbat semnificativ botnetul.
De asemenea, Microsoft întreprinde acţiuni suplimentare în parteneriat cu furnizorii de servicii Internet (ISP-uri) şi alte entităţi din întreaga lume pentru a curăţa computerele clienţilor lor de malware-ul asociat cu botnet-ul Necurs. Acest efort de remediere se derulează la nivel global şi implică colaborarea cu parteneri din industrie, guvernamentali şi din sfera autorităţilor de aplicare a legii prin intermediul Microsoft Cyber Threat Intelligence Program (CTIP). Prin intermediul CTIP, Microsoft furnizează agenţiilor de aplicare a legii şi autorităţilor de tip Computer Emergency Response Teams (CERT-uri), ISP-uri şi agenţiilor guvernamentale responsabile pentru aplicarea legislaţiei în materie cibernetică şi protejarea infrastructurii critice cu informaţii utile cu privire la infrastructuri informatice criminale situate în jurisdicţia lor, precum şi o imagine a computerelor compromise şi a victimelor afectate de asemenea infrastructură criminală.
Pentru această dezmembrare a reţelei Necurs, Microsoft lucrează cu ISP-uri, registre de domenii, agenţii guvernamentale CERT şi organisme de aplicare a legii din Mexic, Columbia, Taiwan, India, Japonia, Franţa, Spania, Polonia şi România, printre altele.
Pentru a vă asigura că computerul dvs. nu este afectat de malware, vizitaţi support.microsoft.com/botnets.