Microsoft verstoort Necurs-botnet van 9 miljoen geïnfecteerde computers

Necurs werd in 2012 voor het eerst geobserveerd door de Digital Crimes Unit van Microsoft, BitSight en anderen in de beveiligingsgemeenschap, schrijft Microsoft in een blogbericht. Op 5 maart dit jaar kreeg Microsoft toestemming om de controle over de Amerikaanse infrastructuur die Necurs gebruikt om malware te verspreiden en slachtoffers te infecteren, over te nemen. Daardoor moet voorkomen worden dat de criminelen achter Necurs nieuwe domeinen registreren om aanvallen uit te voeren.

Microsoft analyseerde voor deze actie een techniek die Necurs gebruikt om via een algoritme systematisch nieuwe domeinen te genereren. "Vervolgens konden we accuraat voorspellen welke 6 miljoen unieke domeinen in de 25 maanden daarna werden aangemaakt", aldus het techbedrijf. De domeinen zijn gerapporteerd bij de registries in de desbetreffende landen, zodat de websites geblokkeerd werden en geen onderdeel konden worden van de infrastructuur van Necurs. 

"Door de controle over bestaande websites over te nemen en de mogelijkheid om nieuwe domeinen aan te maken te remmen, hebben we het botnet significant kunnen verstoren." 

58 dagen, miljoenen mails

Dat Necurs ontzettend grootschalig is, blijkt wel uit observaties van Microsoft. Het bedrijf zag tijdens zijn onderzoek hoe één met Necurs geïnfecteerde computer in 58 dagen maar liefst 3,8 miljoen spammails verstuurde naar ruim 40,6 miljoen potentiële slachtoffers. Microsoft denkt dan ook dat het botnet slachtoffers in vrijwel ieder land ter wereld heeft. 

Microsoft vermoedt dat Russische criminelen achter het botnet zitten. Het netwerk niet alleen voor spammails gebruikt, maar ook om andere computers op het internet aan te vallen en om inloggegevens van online accounts te stelen. Het lijkt er dan ook op dat (delen van) het botnet verhuurd of verkocht worden aan andere criminelen. Onder meer de Russische hackgroep TA505 heeft Necurs gebruikt. TA505 zat vermoedelijk ook achter de ransomware-aanval op Maastricht University. 

Microsoft heeft laten weten dat het samenwerkt met Internet Service Providers en andere partners wereldwijd om computers van slachtoffers te ontdoen van malware die geassocieerd is met Necurs.