Ieri, Microsoft și parteneri din 35 de țări au luat măsuri legale și tehnice coordonate pentru a întrerupe funcționarea uneia dintre cele mai prolifice rețele de botnet din lume, denumită Necurs, care a infectat global peste nouă milioane de computere. Acțiunea de dezmembrare și întrerupere a funcționării rețelei este rezultatul a opt ani de urmărire și planificare și va contribui la împiedicarea infractorilor din spatele acestei rețele de a utiliza elemente-cheie ale infrastructurii pentru a întreprinde atacuri cibernetice.
Un botnet este o rețea de computere pe care infractorii cibernetici le-au infectat cu software malițios (malware). Odată infectate calculatoarele, infractorii le pot controla de la distanță și le pot folosi pentru a comite infracțiuni. Microsoft Digital Crimes Unit, BitSight și alți membri ai comunității de securitate cibernetică au observat pentru prima dată botnetul Necurs în 2012 și au remarcat că distribuie mai multe forme de malware, inclusiv troianul bancar GameOver Zeus.
Botnetul Necurs este una dintre cele mai mari rețele din sistemul amenințărilor de tip spam e-mail, cu victime în aproape fiecare țară din lume. De exemplu, pe parcursul unei perioade de 58 de zile din cadrul investigației noastre, am observat că un computer infectat cu Necurs a trimis un număr total de 3,8 milioane de e-mailuri spam la peste 40,6 milioane de potențiale victime.
Se consideră că Necurs este operat de infractori din Rusia și că a fost folosit pentru o gamă largă de infracțiuni, inclusiv înșelăciuni de tip ”pump and dump stock”, trimiterea de e-mailuri spam cu farmaceutice false și spam și înșelătorii de tip „Russian dating”. A fost, de asemenea, folosit pentru a ataca alte computere pe Internet, la furt de credențiale pentru conturi online și furt de informații personale și de date confidențiale. Interesant este faptul că, se pare, infractorii din spatele Necurs vând sau închiriază accesul la computerele infectate către alți infractori cibernetici ca parte a unui serviciu de tip botnet-for-hire. Necurs este, de asemenea, cunoscut pentru distribuirea de malware cu scopuri financiare și de ransomware, cryptomining și are chiar capacitate DDoS (distributed denial of service) care nu a fost încă activată, dar ar putea fi în orice moment.
Joi, 5 martie, Curtea Districtuală a Statelor Unite din Districtul de Est al New York (U.S. District Court for the Eastern District of New York) a emis un ordin care permite Microsoft să preia controlul asupra infrastructurii localizate în S.U.A. pe care Necurs o folosește pentru a distribui malware și a infecta calculatoarele victimelor. Prin această acțiune legală și printr-un efort de colaborare care implică parteneriate public-private pe întreg globul, Microsoft derulează activități care îi vor împiedica pe infractorii cibernetici din spatele Necurs să înregistreze noi domenii internet pentru a întreprinde atacuri cibernetice în viitor.
Acest lucru a fost realizat prin analizarea unei tehnici utilizate de Necurs pentru a genera sistematic noi domenii pe baza unui algoritm. Am putut apoi să anticipăm cu exactitate peste șase milioane de domenii unice care ar urma să fie create în următoarele 25 de luni. Microsoft a raportat aceste domenii la Registrele locale respective din țări din întreaga lume, astfel încât site-urile web să poată fi blocate și să se prevină să devină parte din infrastructura Necurs. Prin preluarea controlului asupra site-urilor web existente și prin blocarea capacității de a înregistra altele noi, am perturbat semnificativ botnetul.
De asemenea, Microsoft întreprinde acțiuni suplimentare în parteneriat cu furnizorii de servicii Internet (ISP-uri) și alte entități din întreaga lume pentru a curăța computerele clienților lor de malware-ul asociat cu botnet-ul Necurs. Acest efort de remediere se derulează la nivel global și implică colaborarea cu parteneri din industrie, guvernamentali și din sfera autorităților de aplicare a legii prin intermediul Microsoft Cyber Threat Intelligence Program (CTIP). Prin intermediul CTIP, Microsoft furnizează agențiilor de aplicare a legii și autorităților de tip Computer Emergency Response Teams (CERT-uri), ISP-uri și agențiilor guvernamentale responsabile pentru aplicarea legislației în materie cibernetică și protejarea infrastructurii critice cu informații utile cu privire la infrastructuri informatice criminale situate în jurisdicția lor, precum și o imagine a computerelor compromise și a victimelor afectate de asemenea infrastructură criminală.
Pentru această dezmembrare a rețelei Necurs, lucrăm cu ISP-uri, registre de domenii, agenții guvernamentale CERT și organisme de aplicare a legii din Mexic, Columbia, Taiwan, India, Japonia, Franța, Spania, Polonia și România, printre altele. Fiecare dintre noi are un rol esențial de jucat în protejarea clienților și păstrarea Internetului în siguranță.
Pentru a vă asigura că computerul dvs. nu este afectat de malware, vizitați support.microsoft.com/botnets.
