Microsoft paralizza la botnet Necurs prevedendone i modelli di comunicazione

Microsoft ha interrotto la botnet Necurs, uno dei maggiori distributori di spam e malware su Internet.

Necurs funziona fondamentalmente come una raccolta di computer controllati da hacker, che utilizzeranno malware per tentare di infettare altre macchine, da cui il nome botnet.

Tutta quella potenza di calcolo può quindi essere sfruttata per inviare ondate di spam, insieme a e-mail che contengono altri programmi dannosi, incluso il ransomware.

Ma martedì, Microsoft ha affermato di aver "sconvolto in modo significativo" Necurs seguendo il modo in cui riceve gli ordini su Internet.

Per controllare la botnet, gli hacker dietro Necurs utilizzano oscuri domini Internet, che possono inviare nuovi ordini alla raccolta di computer infetti.

Acquisire il controllo di questi domini significa che puoi teoricamente interrompere l'accesso alla botnet.

Quindi, in risposta, gli hacker dietro Necurs hanno costruito un "algoritmo di generazione del dominio" nella loro botnet, che scorrerà attraverso un lungo elenco di siti di dominio in continua evoluzione durante il processo di comunicazione.

Ciò può scoraggiare i ricercatori sulla sicurezza, rendendo difficile individuare da quali domini una botnet sta effettivamente ricevendo ordini.

Ricerche precedenti su Necurs hanno scoperto che la botnet genererà fino a 2.048 domini diversi, che cambieranno ogni quattro giorni.

Tuttavia, Microsoft ha violato l'algoritmo di generazione del dominio di Necurs; la società è stata in grado di prevedere ben 6,1 milioni di domini che la botnet dovrebbe utilizzare nei prossimi 25 mesi.

Con un'ordinanza del tribunale statunitense, Microsoft è stata quindi in grado di garantire l'accesso a tutti i 6,1 milioni di domini e ora controlla le proprietà con sede negli Stati Uniti.

Il resto dei domini è stato condiviso con i registri Internet di tutto il mondo, che hanno impedito a chiunque di controllare i siti.

Necurs è probabilmente il frutto dell'ingegno degli hacker russi, che hanno affittato l'accesso alla botnet ad altri criminali informatici.

Di conseguenza, ha svolto un ruolo in una varietà di schemi criminali dal 2012, comprese le campagne e-mail di spam e la diffusione di altri ceppi di malware come ransomware e trojan che possono rubare le tue informazioni di accesso bancarie.

"Durante un periodo di 58 giorni della nostra indagine, ad esempio, abbiamo osservato che un computer infetto da Necurs ha inviato un totale di 3,8 milioni di e-mail di spam a oltre 40,6 milioni di potenziali vittime", ha detto nell'annuncio di oggi Tom Burt, vicepresidente di Microsoft.

Lo stesso Necurs di solito finisce su un PC tramite altri malware inviati tramite posta indesiderata o pubblicità dannose.

Una volta infettato, Necurs tenterà di trasformare segretamente il computer della vittima in un server di posta elettronica.

Ad oggi, la botnet ha intrappolato almeno 9 milioni di computer in tutto il mondo, afferma Microsoft.

Microsoft ha interrotto la botnet Necurs, uno dei maggiori distributori di spam e malware su Internet.

Necurs funziona fondamentalmente come una raccolta di computer controllati da hacker, che utilizzeranno malware per tentare di infettare altre macchine, da cui il nome botnet.

Tutta quella potenza di calcolo può quindi essere sfruttata per inviare ondate di spam, insieme a e-mail che contengono altri programmi dannosi, incluso il ransomware.

Ma martedì, Microsoft ha affermato di aver "sconvolto in modo significativo" Necurs seguendo il modo in cui riceve gli ordini su Internet.

Per controllare la botnet, gli hacker dietro Necurs utilizzano oscuri domini Internet, che possono inviare nuovi ordini alla raccolta di computer infetti.

Acquisire il controllo di questi domini significa che puoi teoricamente interrompere l'accesso alla botnet.

Quindi, in risposta, gli hacker dietro Necurs hanno costruito un "algoritmo di generazione del dominio" nella loro botnet, che scorrerà attraverso un lungo elenco di siti di dominio in continua evoluzione durante il processo di comunicazione.

Ciò può scoraggiare i ricercatori sulla sicurezza, rendendo difficile individuare da quali domini una botnet sta effettivamente ricevendo ordini.

Ricerche precedenti su Necurs hanno scoperto che la botnet genererà fino a 2.048 domini diversi, che cambieranno ogni quattro giorni.

Tuttavia, Microsoft ha violato l'algoritmo di generazione del dominio di Necurs; la società è stata in grado di prevedere ben 6,1 milioni di domini che la botnet dovrebbe utilizzare nei prossimi 25 mesi.

Con un'ordinanza del tribunale statunitense, Microsoft è stata quindi in grado di garantire l'accesso a tutti i 6,1 milioni di domini e ora controlla le proprietà con sede negli Stati Uniti.

Il resto dei domini è stato condiviso con i registri Internet di tutto il mondo, che hanno impedito a chiunque di controllare i siti.

Necurs è probabilmente il frutto dell'ingegno degli hacker russi, che hanno affittato l'accesso alla botnet ad altri criminali informatici.

Di conseguenza, ha svolto un ruolo in una varietà di schemi criminali dal 2012, comprese le campagne e-mail di spam e la diffusione di altri ceppi di malware come ransomware e trojan che possono rubare le tue informazioni di accesso bancarie.

"Durante un periodo di 58 giorni della nostra indagine, ad esempio, abbiamo osservato che un computer infetto da Necurs ha inviato un totale di 3,8 milioni di e-mail di spam a oltre 40,6 milioni di potenziali vittime", ha detto nell'annuncio di oggi Tom Burt, vicepresidente di Microsoft.

Lo stesso Necurs di solito finisce su un PC tramite altri malware inviati tramite posta indesiderata o pubblicità dannose.

Una volta infettato, Necurs tenterà di trasformare segretamente il computer della vittima in un server di posta elettronica.

Ad oggi, la botnet ha intrappolato almeno 9 milioni di computer in tutto il mondo, afferma Microsoft.