Botnet Necurs pokonany
To jedno z najbardziej niebezpiecznych narzędzi, jakie pojawiły się w sieci w ostatnich latach. Necurs zainfekował ok. 9 mln komputerów, które bez wiedzy ich właścicieli wysyłały spam lub oprogramowanie ransomware, a także wykorzystywane były do ataków na instytucje finansowe.
Dopiero w zeszłym tygodniu botnet udało się wyłączyć. Akt ten poprzedziło zakrojone na szeroką skalę śledztwo zorganizowane przez Microsoft, w którym brali też udział dostawcy usług internetowych i firmy zajmujące się cyberbezpieczeństwem, jak BitSight i ShadowServer, a także organy ścigania.
O tym, że Necurs był wyjątkowo niebezpieczny, świadczy jego uniwersalność i zasięg działania. W przeciwieństwie do większości botnetów, które wykonują jedną złośliwą czynność, Necurs mógł być wykorzystywany do wielu celów i to na masową skalę. Każdy z zainfekowanych komputerów mógł wysłać 3,8 mln wiadomości spamowych do ponad 40,6 mln ofiar w ciągu niecałych 2 miesięcy. Był to botnet do wynajęcia w celu rozsyłania złośliwego oprogramowania zgodnie z życzeniem klienta. Wiązany jest z niemal wszystkimi największymi atakami cyberprzestępców w ostatnich 10 latach, począwszy od słynnego Trojana GameOver Zeus.
Necurs jest też bardzo groźny dla komputerów z nieaktualizowanym oprogramowaniem. W przypadku urządzeń z systemem Windows 7 bez aktualnych zabezpieczeń antywirusowych (Microsoft przestał już wspierać ten system) botnet może doprowadzić nawet do usunięcia antywirusa i narazić urządzenie na działanie wielu złośliwych programów.
Mimo że Necurs został odkryty 8 lat temu, dopiero w 2016 r. podjęto prace nad jego usunięciem. Był to spory wysiłek, ponieważ należało najpierw poznać strukturę oprogramowania – nie można walczyć z czymś, czego nie widać. Nie było to łatwe, ponieważ Necurs nie jest pojedynczym botnetem, ale całą rozbudowaną rodziną pozostającą pod kontrolą niezidentyfikowanych rosyjskich przestępców. Odkryto, że cztery z tych botnetów były odpowiedzialne za 95% wszystkich infekcji. Ponadto Necurs korzysta ze szczególnie wyrafinowanej struktury dowodzenia w celu przekazywania informacji do i z kontrolowanych przez siebie komputerów.
Najskuteczniejszym sposobem walki okazało się blokowanie domen, z których mogły następować ataki. Łamiąc algorytm, Microsoft zablokował w samych tylko Stanach Zjednoczonych ponad 6,1 mln domen, które botnet zamierzał wykorzystać.
Natura nie lubi próżni – po spadku znaczenia Necursa wzrosło znaczenie innych botnetów. Specjaliści od cyberbezpieczeństawa zastanawiają się jednak, kiedy i w jakiej formie Necurs powróci...
fot. Markus Spiske – Pixabay