Necurs: Microsoft attacca la rete che ha infettato oltre 9 milioni di computer

407
Necurs

Necurs è una delle più grandi botnet di spam e malware finora conosciute e si ritiene abbia infettato più di nove milioni di computer in tutto il mondo. Andava fermata e ci ha pensato una maxi operazione coordinata da Microsoft con 35 Paesi.

Microsoft ha adottato misure più efficaci per eliminare Necurs, una gigantesca botnet che ha infettato oltre 9 milioni di computer in tutto il mondo. Il 5 marzo scorso la Corte Distrettuale di New York (Eastern District) ha consentito alla casa di Redmond di prendere il controllo dell’infrastruttura di Necurs situata negli Stati Uniti ed usata per distribuire i malware che infettano i computer delle vittime.

La notizia è stata pubblicata proprio da Microsoft che ha annunciato di aver rotto il DGA (Domain generation algorithm) di Necurs, l’algoritmo di generazione del dominio della botnet, il componente che genera nomi a dominio (Domain Name System – DSN) utilizzati per lanciare gli attacchi.

“Questa interruzione è il risultato di otto anni di monitoraggio e pianificazione e contribuirà a garantire che i criminali dietro questa rete non siano più in grado di utilizzare elementi chiave della sua infrastruttura per eseguire attacchi informatici”.
Considerando che le sue attività andavano avanti almeno dal 2012 direi che è un’ottima notizia.

Cosa è Necurs

Necurs è una botnet, ossia una rete di computer che è stata infettata con un software dannoso o malware.
Ma perché infettare così tanti computer? Alla base, ovviamente, c’è un intento criminale: quello, cioè, di poter controllare i computer infettati da remoto e usarli per commettere reati.

Necurs è apparsa per la prima volta nel 2012 ed è diventata una delle più grandi botnet di spam conosciute fino ad oggi. In poco meno di un paio di mesi, un computer infettato da Necurs aveva mandato oltre 3,8 milioni di email contenenti link malevoli

Per botnet si intende la raccolta di tutti i computer che sono stati infettati da un modulo malware chiamato Necurs.

“La botnet Necurs è una delle più grandi reti nell’ecosistema di minacce e-mail di spam, con vittime in quasi tutti i paesi del mondo. Abbiamo osservato che un computer infetto da Necurs ha inviato un totale di 3,8 milioni di e-mail di spam a oltre 40,6 milioni di potenziali vittime”.

Si ritiene che Necurs sia gestita da criminali con sede in Russia. Uno strumento così potente ovviamente si presta ad diverse attività criminali. Non a caso gli hacker russi che gestivano la botnet la subappaltavano ad altri criminali per effettuare:

  • attacchi DDoS,
  • truffe o mining di criptovalute,
  • Diffusione del banking trojan  GameOver Zeus.

Necurs, come è stata eliminata

L’operazione per contrastare Necurs ha richiesto la partecipazione di ben 35 paesi. Microsoft ha infatti chiesto la collaborazione con diverse società di sicurezza informatica, fornitori di servizi Internet, registri di domini, CERT governativi e forze dell’ordine.
L’azienda afferma inoltre che ora sta lavorando con gli ISP e i team CERT per informare gli utenti che sono stati infettati in modo che possano rimuovere il malware dai loro computer.
Microsoft nel suo blog spiega di avere creato degli algoritmi in grado di prevedere in anticipo le modalità d’attacco di Necurs, che richiedono in genere la creazione di un nuovo dominio con indirizzo casuale. Prevedendo i nuovi domini, Microsoft e i 35 partner che hanno partecipato alla controffensiva sono in grado di azzerare la capacità offensiva della botnet, impedendone la prolificazione.