Megbénult a Necurs kártékony hálózat

A Microsoft bejelentette, hogy hosszas kutatómunka után sikerült feltérképeznie a roppant sok kárt okozó Necurs botnetet, majd annak működését megbénította.
 

A Necurs botnet egy igazi aggastyánnak számít a kártékony hálózatok között. Először 2012-ben kezdett terebélyesedni azáltal, hogy a hozzá tartozó ártalmas programok mind több számítógépet fertőztek meg. Eleinte inkább spamkampányokban, azaz levélszemét terjesztésében kapott szerepet a botnet, majd egyre inkább különféle kártékony programok szaporításából vette ki a részét. Egyebek mellett szerepet vállalt a hírhedt GameOver, Zeus, Dridex, Locky és Trickbot trójai programok, valamint zsarolóvírusok széles körű fertőzéseiben is. Ezt követően pedig a Necurs üzemleltetői bérbe adták a hálózatukat, amely ilyen módon szolgáltatásmegtagadási támadásokba is bekapcsolódott.
 
2019 márciusában aztán némileg háttérbe szorult a Necurs, de korántsem annyira, hogy el lehetett volna róla feledkezni. A BitSight biztonsági cég még idén márciusban is 660 ezer fertőzést írt a Necurs számlájára - különösen Indiában, Indonéziában és Törökországban volt aggasztó a helyzet. Így aztán nem csoda, hogy a Microsoft biztonsági kutatói is rávetették magukat a botnet felszámolására.
 
A vállalat közölte, hogy a Necurs egy hibrid, P2P-alapú botnet, amely több hálózatból tevődik össze. A szakemberek hét ilyen hálózatot fedtek fel, amelyek közül négy volt aktív. A botnet megbénítása azonban sokkal inkább annak köszönhető, hogy sikerült visszafejteni a Necurs által alkalmazott domaingeneráló (DGA) algoritmust, amelynek segítségével a zombi számítógépek mindig meg tudták találni a nekik megfelelő vezérlőszervereket. Miután ennek működése felszínre került, egy összehangolt munka kezdődött, hogy a problémás domaineket vissza lehessen vonni, és az új, káros domain regisztrálásokat meg lehessen előzni. Ennek érdekében a Microsoft domain regisztrátorokkal, internet szolgáltatókkal is együttműködött.