Sikeresen leállítottak egy botnet hálózatot, mely a Necurs kártevő által megfertőzött 9 millió számítógépből és a mögöttes infrastruktúrából állt. A hálózat lekapcsolása nem volt egyszerű, ehhez 35 ország rendőrségének és magánvállalatok összehangolt akciójára volt szükség. 

Összesen 35 országban tevékenykedő hatóságok és a magánvállalatok összehangolt akciójára volt szükség annak érdekében, hogy az először 2012-ben jelentkező Necurs kártevő által létrehozott botnet hálózatot le tudják kapcsolni. A kártevő mindeddig 9 millió számítógépet fertőzött meg, és az így létrehozott botnet hálózatot arra használta, hogy zsarolóvírusokat, kártevőket terjesszen szerte a világban.

A hálózatot azért volt nehéz lekapcsolni, mert egy domain neveket generáló algoritmus segítségével a kártevő központja folyamatosan változott: amint észrevették, hogy esetleg az adott domain nevet a hatóságok felfedezték, generáltak egy másikat, bejegyezték, majd oda költözött az ellenőrzőközpont.

Az üldözőknek azonban sikerült egy lépéssel a Necurs kártevő elé kerülni. A Microsoft segítségével több mint hatmillió olyan domain nevet jósoltak meg precízen, melyet a kártevő nagy valószínűséggel a jövőben használhatott volna ellenőrzőközpontja virtuális székhelyéül. Ezeket a domain neveket jelentették a különböző országok weboldal regisztrációval foglalkozó hatóságainak, így azokat a kártevő már nem tudja használni. Ugyanakkor a bírósági eljárás végén a Microsoftnak sikerült a kártevő amerikai infrastruktúráját ellenőrzése alá vonnia, így az képtelen további számítógépeket megfertőzni.

A Necurs kártevőt igazán csak 2017-ben fedezték fel a szakértők, de ez még nem volt elég ahhoz, hogy a hálózatot felszámolják – most sem tudták megszüntetni, csak ellehetetlenítik működését. A botnet, miután megfertőzte a kiszemelt számítógépet, egy sor IT biztonsági alkalmazás működését megakadályozta, többek között a Microsoft operációs rendszerébe beépített Windows tűzfalat is. Így nem meglepő, hogy a koordinált erőfeszítést maga a Microsoft vezette.

Ha a biztonsági megoldást kiiktatta a kártevő, akkor saját céljaira használhatta az adott gépet: innen indíthatta el a kéretlen levelek tömkelegét, az adathalász leveleket, de telepíthetett a gépekre a banki adatokat ellopó trójait, a kriptopénztárcákat kifosztó kártevőt vagy akár zsarolóvírust is.

Három éven keresztül, 2016 és 2019 között a Necurs botnet terjesztette az emailben terjedő kártevők 90 százalékát, a spam és kártevők első számú terjesztési hálózatának számított.

A kutatók 58 napig folyamatosan figyelték a hálózat működését, ebben az időszakban egyetlen Necurs fertőzte számítógép 3,8 millió spam levelet küldött közel 40,6 millió lehetséges áldozatnak. Egyes esetekben a támadók a hagyományos zsarolástól sem riadtak meg, azt állítván, hogy konkrét bizonyítékkal rendelkeznek az áldozat házastársi hűtlenségéről. A kártevő által érintett top országok: India, Indonézia, Törökország, Vietnám, Mexikó, Thaiföld, Irán, Fülöp-szigetek, Brazília. 

Forrás: The Hacker News cikke