Microsoft stara się powstrzymać botneta Necurs, który zainfekował już 9 milionów komputerów

Microsoft wraz z partnerami z 35 krajów podjął skoordynowane działania prawne i techniczne, mające na celu przerwanie działania jednego z najgroźniejszych botnetów na świecie o nazwie Necurs. Zainfekował on ponad dziewięć milionów komputerów. Rozpoczęta wczoraj akcja Microsoftu jest wynikiem śledztwa prowadzonego przez osiem lat. Gigant chce mieć pewność, że przestępcy stojący za tą siecią nie będą już mogli korzystać z kluczowych elementów infrastruktury do przeprowadzania cyberataków.

Na początek krótkie wyjaśnienie, co to jest botnet. Jest to sieć komputerów zainfekowanych złośliwym oprogramowaniem, które dzięki temu znalazły się pod kontrolą przestępców i mogą być przez nich wykorzystywane do popełniania kolejnych przestępstw. Jeśli chodzi o ten szczególny przypadek Necursa, został on zaobserwowany po raz pierwszy w 2012 roku przez Microsoft Digital Crimes Unit, BitSight i innych badaczy. Rozpowszechnia on różne formy złośliwego oprogramowania, w tym trojana bankowego o nazwie GameOver Zeus. Necurs to jedna z największych sieci spamujących, mająca ofiary w prawie każdym kraju na świecie. Przykładowo w 58-dniowym okresie objętym badaniem Microsoft odnotował, że jeden zainfekowany komputer wysłał w sumie 3,8 mln wiadomości e-mail do ponad 40,6 mln potencjalnych ofiar. Za botnetem stoi najprawdopodobniej organizacja przestępcza z siedzibą w Rosji, która oprócz rozsyłania spamu miała wykorzystywać go m.in. w oszustwach giełdowych typu pump-and-dump, oszustwach spod szyldu Russian dating, a także kradzieży danych logowania, danych osobowych i innych poufnych danych. Przestępcy stojący za Necurs sprzedają również lub wynajmują dostęp do zainfekowanych urządzeń innym przestępcom w ramach usługi botnet-for-hire. Necurs jest ponadto znany z dystrybucji złośliwego oprogramowania (w tym ransomware) i funkcjonalności DDoS, która jednak nie była do tej pory aktywowana.

A na czym polegały kroki prawne podjęte przez Microsoft? Przełom nastąpił w miniony czwartek, kiedy sąd rejonowy w Nowym Jorku wydał nakaz umożliwiający Microsoftowi przejęcie kontroli nad amerykańską infrastrukturą używaną przez Necursa. Dzięki tym działaniom prawnym, a także poprzez partnerstwa publiczno-prywatne na całym świecie gigant prowadzi działania, które mają zapobiec rejestrowaniu nowych domen przez przestępców stojących za botnetem. Firmom udało się rozpracować technikę generowania nowych domen za pomocą algorytmu używanego przez Necursa, a następnie przewidzieć ponad 6 mln unikalnych domen, które miały zostać utworzone w ciągu najbliższych 25 miesięcy. Microsoft zgłosił te domeny w odpowiednich rejestrach, aby mogły zostać zablokowane przed włączeniem w infrastrukturę botneta.

Microsoft nawiązał też współpracę dostawcami usług internetowych (ISP), aby pozbyć się złośliwego oprogramowania związanego z botnetem z komputerów swoich klientów. Te działania naprawcze mają zasięg globalny i obejmują współpracę z partnerami z branży, rządu i organów ścigania za pośrednictwem programu Microsoft Cyber ​​Threat Intelligence Program (CTIP). Gigant współpracował m.in. z organami ścigania z Meksyku, Kolumbii, Tajwanu, Indii, Japonii, Francji, Hiszpanii, Polski i Rumunii. Przejmując kontrolę nad istniejącymi stronami internetowymi i blokując możliwość rejestracji nowych, znacznie zakłóciliśmy działanie botnetu — dodaje Tom Burt, CVP Customer Security & Trust w Microsoft.

Microsoft udostępnia również narzędzie, które pozwala sprawdzić, czy nasz komputer padł ofiarą złośliwego oprogramowania. Nosi ono nazwę Microsoft Safety Scanner i można je pobrać z portalu Microsoft Docs.