Microsoft organiza la eliminación coordinada de la botnet Necurs


botnet ddos ​​mapa mundo globo cibernético

Microsoft anunció hoy un desmantelamiento coordinado de Necurs, una de las botnets de malware y spam más grandes conocidas hasta la fecha, que se cree que ha infectado a más de nueve millones de computadoras en todo el mundo.

El esfuerzo de eliminación se produjo después de que Microsoft y los socios de la industria rompieron el Necurs DGA, el algoritmo de generación de dominio de la botnet, el componente que genera nombres de dominio aleatorios.

Los autores de Necurs registran los dominios generados por DGA con semanas o meses de anticipación y alojan los servidores de comando y control (C&C) de la botnet, donde los bots (computadoras infectadas) se conectan para recibir nuevos comandos.

«Entonces pudimos predecir con precisión más de seis millones de dominios únicos que se crearían en los próximos 25 meses». dijo hoy Tom Burt, Vicepresidente de seguridad y confianza del cliente de Microsoft.

Romper el DGA permitió a Microsoft y a sus socios de la industria crear una lista completa de los futuros dominios de servidores de Necurs C&C que ahora pueden bloquear y evitar que el equipo de Necurs se registre.

Además, el equipo authorized de Microsoft también intervino y obtuvo una orden judicial la semana pasada, el 5 de marzo, otorgó a Microsoft el command sobre los dominios Necurs existentes que se alojaban en los EE. UU.

«Al tomar el handle de los sitios website existentes e inhibir la capacidad de registrar nuevos, hemos interrumpido significativamente la crimson de bots», dijo Burt.

Esfuerzo coordinado en 35 países.

El fabricante del sistema operativo dijo que trabajó con firmas de ciberseguridad, proveedores de servicios de Web, registros de dominio, CERT gubernamentales y agencias de la ley en 35 países para coordinar el derribo de Necurs, lo que lo convirtió en uno de los derribos coordinados más grandes que jamás haya tenido lugar.

Después de que Microsoft tomó el manage de la infraestructura existente de Necurs, la compañía y sus socios de la industria pudieron hundir la botnet y recibir información sobre todos los bots ubicados en todo el mundo.

Como paso ultimate de este esfuerzo, Microsoft dice que ahora está trabajando con los ISP y los equipos de CERT para notificar a los usuarios que han sido infectados para que puedan eliminar el malware de sus computadoras.

Una de las botnets de spam más grandes jamás creadas

Históricamente, la botnet Necurs apareció por primera vez en 2012 y se convirtió en una de las botnets de spam más grandes conocidas hasta la fecha. La botnet es la colección de todas las computadoras que han sido infectadas por un módulo de malware llamado Necurs. El módulo de correo no deseado Necurs se ejecuta en las computadoras de un usuario y utiliza sus recursos para enviar diariamente cantidades masivas de correo electrónico no deseado.

Según Microsoft, durante una investigación reciente de 58 días, sus ingenieros rastrearon una sola computadora infectada con Necurs enviando más de 3.8 millones de correos electrónicos a más de 40.6 millones de víctimas.

Los correos electrónicos generalmente contienen archivos adjuntos con malware, pero el Necurs también se utiliza para difundir estafas de acciones de bombeo y descarga, correo electrónico falso de spam farmacéutico y estafas de citas de «novia rusa».

Se cree que la red de bots es administrada por los creadores del troyano bancario Dridex, conocido como Evil Corp, acusado el año pasado por las autoridades estadounidenses.

Pero mientras Necurs ha arrojado muchos correos electrónicos no deseados infectados por Dridex, la botnet también ha alquilado sus servicios a muchas otras pandillas criminales, llevando una amplia variedad de otras cepas de malware, incluido ransomware, troyanos de acceso remoto y troyanos que roban información .



Enlace a la noticia first