Leállították az emailes fertőzések 90 százalékát generáló kártevőt

A botnet hálózat a Necurs kártevő által

megfertőzött 9 millió számítógépből és a mögöttes infrastruktúrából állt.

Összesen 35 országban tevékenykedő hatóságok és a magánvállalatok összehangolt akciója kellett, hogy az először 2012-ben jelentkező Necurs kártevő által létrehozott botnet hálózatot le tudják kapcsolni. A kártevő mindeddig 9 millió számítógépet fertőzött meg, és az így létrehozott botnet hálózatot arra használta, hogy zsarolóvírusokat, kártevőket terjesszen szerte a világban.

A hálózatot azért volt nehéz lekapcsolni, mert egy domain neveket generáló algoritmus segítségével a kártevő központja folyamatosan változott: amint észrevették, hogy esetleg az adott domain nevet a hatóságok felfedezték, generáltak egy másikat, bejegyezték, majd oda költözött az ellenőrzőközpont.

Nem véletlen, hogy a Microsoft segített

Az üldözőknek azonban sikerült egy lépéssel a Necurs kártevő elé kerülni. A Microsoft segítségével több mint hatmillió olyan domain nevet jósoltak meg precízen, melyet a kártevő nagy valószínűséggel a jövőben használhatott volna ellenőrzőközpontja virtuális székhelyéül – számolt be a The Hacker News cikke alapján a G Data. Ezeket a domain neveket jelentették a különböző országok weboldal regisztrációval foglalkozó hatóságainak, így azokat a kártevő már nem tudja használni. Ugyanakkor a bírósági eljárás végén a Microsoftnak sikerült a kártevő amerikai infrastruktúráját ellenőrzése alá vonnia, így az képtelen további számítógépeket megfertőzni.

A Necurs kártevőt igazán csak 2017-ben fedezték fel a szakértők, de ez még nem volt elég ahhoz, hogy a hálózatot felszámolják – most sem tudták megszüntetni, csak ellehetetlenítik működését. A botnet, miután megfertőzte a kiszemelt számítógépet, egy sor IT biztonsági alkalmazás működését megakadályozta, többek között a Microsoft operációs rendszerébe beépített Windows tűzfalat is. Így nem meglepő, hogy a koordinált erőfeszítést maga a Microsoft vezette.

Ha a biztonsági megoldást kiiktatta a kártevő, akkor saját céljaira használhatta az adott gépet

– innen indíthatta el a kéretlen levelek tömkelegét, az adathalász leveleket, de telepíthetett a gépekre a banki adatokat ellopó trójait, a kriptopénztárcákat kifosztó kártevőt vagy akár zsarolóvírust is.

Három éven keresztül, 2016 és 2019 között a Necurs botnet terjesztette az emailben terjedő kártevők 90 százalékát, a spam és kártevők első számú terjesztési hálózatának számított.

A kutatók 58 napig folyamatosan figyelték a hálózat működését, ebben az időszakban egyetlen Necurs fertőzte számítógép 3,8 millió spam levelet küldött közel 40,6 millió lehetséges áldozatnak.

Egyes esetekben a támadók a hagyományos zsarolástól sem riadtak meg, akár például azt állítván, hogy konkrét bizonyítékkal rendelkeznek az áldozat házastársi hűtlenségéről.

Borítóképünk illusztráció