понедельник, 16 марта 2020 г.

Microsoft организует скоординированное удаление ботнета Necurs






Microsoft и партнеры из 35 стран пытаются уничтожить Necurs, крупнейший на сегодняшний день вредоносный ботнет.

Сегодня Microsoft объявила о скоординированном уничтожении Necurs, одной из крупнейших бот-сетей, представляющих спам и вредоносные программы, которые, как считается, заразили более девяти миллионов компьютеров по всему миру.

Эта попытка была предпринята после того, как Microsoft и отраслевые партнеры взломали Necurs DGA - алгоритм генерации домена ботнета, компонент, который генерирует случайные доменные имена.



Авторы Necurs регистрируют сгенерированные DGA домены за недели или месяцы и размещают серверы бот-сети (C & C), где боты (зараженные компьютеры) подключаются для получения новых команд.

«Тогда мы смогли точно предсказать более шести миллионов уникальных доменов, которые будут созданы в течение следующих 25 месяцев», - сказал сегодня Том Берт, вице-президент Microsoft по безопасности.

Разрушение DGA позволило Microsoft и ее отраслевым партнерам создать исчерпывающий список будущих доменов серверов Necurs C & C, которые они теперь могут блокировать и препятствовать регистрации команды Necurs.

Кроме того, команда юристов Microsoft также вмешалась и получила на прошлой неделе, 5 марта, судебный приказ, предоставляющий Microsoft контроль над существующими доменами Necurs, которые размещались в США.

«Взяв под контроль существующие веб-сайты и ограничив возможность регистрации новых, мы значительно нарушили работу ботнета», - сказал Берт.



Производитель ОС сказал, что он работал с фирмами кибербезопасности, провайдерами интернет-услуг, реестрами доменов, правительственными CERT и правоохранительными органами в 35 странах, чтобы координировать удаление Necurs, делая это одним из крупнейших скоординированных изменений, которые когда-либо имели место.

После того, как Microsoft установила контроль над существующей инфраструктурой Necurs, компания и ее отраслевые партнеры смогли поглотить ботнет и получить информацию обо всех ботах, расположенных по всему миру.

В качестве заключительного этапа этих усилий Microsoft заявляет, что теперь она работает с интернет-провайдерами и командами CERT, чтобы уведомить зараженных пользователей, чтобы они могли удалить вредоносное ПО со своих компьютеров.

ОДНА ИЗ КРУПНЕЙШИХ СПАМ-БОТНЕТОВ
Исторически ботнет Necurs впервые появился в 2012 году и стал одним из крупнейших спам-ботнетов, известных на сегодняшний день. Ботнет - это коллекция компьютеров, которые были заражены вредоносным модулем с именем Necurs. Модуль спама Necurs работает на компьютерах пользователя и использует его ресурсы для ежедневной рассылки огромного количества спам-сообщений.



По данным Microsoft, в ходе недавнего 58-дневного расследования ее инженеры отслеживали один единственный компьютер, зараженный Necurs, и отправили более 3,8 миллиона электронных писем более чем 40,6 миллионам жертв.

Электронные письма обычно содержат вредоносные вложения, но Necurs также используется для распространения мошеннических акций, фальсифицированного фармацевтического спама и мошенничества с "русской невестой".

Предполагается, что ботнетом управляют создатели банковского трояна Dridex, известного как Evil Corp., обвиненного в прошлом году американскими властями.

Но в то время как Necurs извергал много спам-писем, зараженных Dridex, ботнет также часто предоставлял свои услуги многим другим преступным группировкам, передавая широкий спектр других видов вредоносного ПО, включая вымогателей, трояны удаленного доступа и трояны, крадущие информацию.

Фирма по кибербезопасности BitSight, которая также сыграла решающую роль в захвате, сегодня опубликовала отчет об инфраструктуре Necurs, прежде чем он был снят.




Комментариев нет:

Отправить комментарий