De bibliotheek voor digitale criminaliteit

Botnet met 9 miljoen computers uit de lucht gehaald

Gepubliceerd op 12 maart 2020 om 14:20

Botnet met 9 miljoen computers uit de lucht gehaald

Negen miljoen zombie computers

Microsoft heeft samen met een team van security-experts het botnet 'Necurs' ontmanteld. Het zou met zo'n negen miljoen geïnfecteerde computers een van 's werelds grootste botnets zijn.

'Necurs' werd ingezet voor een reeks van criminele activiteiten, waaronder het stelen van persoonlijke informatie, het verspreiden van malware, het uitvoeren van DDoS-aanvallen en oplichterij, met onder meer valse farmaceutische mails en aanbiedingen voor Russische bruidjes. Om het neer te halen was een operatie nodig die acht jaar planning vereiste, en de samenwerking tussen partners in 35 landen. Het gaat daarbij over beveiligingsfirma's, internet service providers en politiediensten.

Vanuit Rusland

Necurs took voor het eerst op in 2012 en er wordt vermoed dat het wordt geleid vanuit Rusland. Het botnet bestond uit zo'n negen miljoen 'zombie' computers, toestellen die geïnfecteerd zijn met malware en op die manier kunnen worden aangestuurd van op afstand. Necurs 'bediende' die computers vanuit websites die via een domeinnaam-algoritme werden gegenereerd, wat het moeilijker maakte om het botnet van bij de bron af te snijden. De domeinnamen werden weken of maanden op voorhand geregistreerd, en op de sites erachter draaide het botnet zijn command-and-control servers, die de opdrachten naar geïnfecteerde computers sturen.

Algoritme gekraakt

Microsoft zegt nu dat het in staat was om het algoritme van Necurs te kraken, en zo te voorspellen welke domeinnamen in de volgende paar maanden zouden worden ingezet. "We konden nauwkeurig meer dan zes miljoen unieke domeinen voorspellen die in de volgende 25 maanden zouden worden gecreëerd", meldt Burt in een blogpost over de actie. Die domeinnamen werden dan geblokkeerd. Zijn bedrijf kreeg via de rechtbank ook de controle over bestaande Necurs domeinen die gehost worden in de VS. "Door bestaande websites over te nemen en de mogelijkheid in te perken om nieuwe domeinen te registeren, hebben we het botnet aanzienlijk verstoord", aldus Burt.

infrastructuur overgenomen

Door de bestaande Necurs infrastructuur over te nemen, kan Microsoft ook in kaart brengen welke bots er over de wereld verspreid zitten. Het bedrijf wil nu samenwerken met internetproviders en overheidsdiensten om de gebruikers in kwestie te informeren over hun geïnfecteerde systeem, zodat ze de malware kunnen verwijderen. Een volledig rapport over de Necurs infrastructuur vind je bij Bitsight, dat ook aan de operatie meewerkte.

Bron: microsoft, executive-people, datanews


«   »