Microsoft и партнеры из 35 стран пытаются уничтожить Necurs,
крупнейший на сегодняшний день вредоносный ботнет.
Сегодня
Microsoft объявила о скоординированном уничтожении Necurs, одной из крупнейших
бот-сетей, представляющих спам и вредоносные программы, которые, как считается,
заразили более девяти миллионов компьютеров по всему миру.
Эта
попытка была предпринята после того, как Microsoft и отраслевые партнеры
взломали Necurs DGA - алгоритм генерации домена ботнета, компонент, который
генерирует случайные доменные имена.
Авторы
Necurs регистрируют сгенерированные DGA домены за недели или месяцы и размещают
серверы бот-сети (C & C), где боты (зараженные компьютеры) подключаются для
получения новых команд.
«Тогда
мы смогли точно предсказать более шести миллионов уникальных доменов, которые
будут созданы в течение следующих 25 месяцев», - сказал сегодня Том Берт,
вице-президент Microsoft по безопасности.
Разрушение
DGA позволило Microsoft и ее отраслевым партнерам создать исчерпывающий список
будущих доменов серверов Necurs C & C, которые они теперь могут блокировать
и препятствовать регистрации команды Necurs.
Кроме
того, команда юристов Microsoft также вмешалась и получила на
прошлой неделе,
5 марта, судебный приказ, предоставляющий Microsoft контроль над существующими
доменами Necurs, которые размещались в США.
«Взяв
под контроль существующие веб-сайты и ограничив возможность регистрации новых,
мы значительно нарушили работу ботнета», - сказал Берт.
Производитель
ОС сказал, что он работал с фирмами кибербезопасности, провайдерами
интернет-услуг, реестрами доменов, правительственными CERT и
правоохранительными органами в 35 странах, чтобы координировать удаление
Necurs, делая это одним из крупнейших скоординированных изменений, которые
когда-либо имели место.
После
того, как Microsoft установила контроль над существующей инфраструктурой
Necurs, компания и ее отраслевые партнеры смогли поглотить ботнет и получить
информацию обо всех ботах, расположенных по всему миру.
В
качестве заключительного этапа этих усилий Microsoft заявляет, что теперь она
работает с интернет-провайдерами и командами CERT, чтобы уведомить зараженных
пользователей, чтобы они могли удалить вредоносное ПО со своих компьютеров.
ОДНА ИЗ
КРУПНЕЙШИХ СПАМ-БОТНЕТОВ
Исторически
ботнет Necurs впервые появился в 2012 году и стал одним из крупнейших
спам-ботнетов, известных на сегодняшний день. Ботнет - это коллекция компьютеров,
которые были заражены вредоносным модулем с именем Necurs. Модуль спама Necurs
работает на компьютерах пользователя и использует его ресурсы для ежедневной
рассылки огромного количества спам-сообщений.
По
данным Microsoft, в ходе недавнего 58-дневного расследования ее инженеры
отслеживали один единственный компьютер, зараженный Necurs, и отправили более
3,8 миллиона электронных писем более чем 40,6 миллионам жертв.
Электронные
письма обычно содержат вредоносные вложения, но Necurs также используется для
распространения мошеннических акций, фальсифицированного фармацевтического
спама и мошенничества с "русской невестой".
Предполагается,
что ботнетом управляют создатели банковского трояна Dridex, известного как Evil
Corp., обвиненного в прошлом году американскими
властями.
Но в то
время как Necurs извергал много спам-писем, зараженных Dridex, ботнет также
часто предоставлял свои услуги многим другим преступным группировкам, передавая
широкий спектр других видов вредоносного ПО, включая вымогателей, трояны
удаленного доступа и трояны, крадущие информацию.
Фирма по
кибербезопасности BitSight, которая также сыграла решающую роль в захвате,
сегодня опубликовала отчет об инфраструктуре Necurs, прежде чем он был снят.
Комментариев нет:
Отправить комментарий