Microsoft verlamt Necurs Botnet door zijn communicatiepatronen te voorspellen

Microsoft heeft het Necurs-botnet verstoord, een van de grootste verspreiders van spam-e-mail en malware op internet.

Necurs werkt in feite als een verzameling door hackers bestuurde computers, die malware zullen gebruiken om andere machines te infecteren, vandaar de naam botnet.

Al die rekenkracht kan vervolgens worden aangewend om golven van spam te verzenden, samen met e-mails die andere kwaadaardige programma's bevatten, waaronder ransomware.

Maar dinsdag zei Microsoft dat het Necurs "aanzienlijk verstoorde" door na te gaan hoe het bestellingen op internet ontvangt.

Om het botnet te besturen, gebruiken de hackers achter Necurs obscure internetdomeinen, die nieuwe orders kunnen versturen naar de verzameling geïnfecteerde computers.

Door deze domeinen over te nemen, kunt u in theorie de toegang tot het botnet onderbreken.

Als reactie hierop hebben de hackers achter Necurs een 'domeingeneratie-algoritme' in hun botnet ingebouwd, dat tijdens het communicatieproces een lange lijst van steeds veranderende domeinsites doorloopt.

Dit kan beveiligingsonderzoekers afschrikken, waardoor het moeilijk wordt om vast te stellen van welke domeinen een botnet daadwerkelijk bestellingen ontvangt.

Uit eerder onderzoek naar Necurs is gebleken dat het botnet tot 2.048 verschillende domeinen zal genereren, die elke vier dagen zullen veranderen.

Desalniettemin heeft Microsoft het algoritme voor het genereren van domeinen van Necurs gekraakt; het bedrijf kon maar liefst 6,1 miljoen domeinen voorspellen die het botnet de komende 25 maanden zal gebruiken.

Met een Amerikaans gerechtelijk bevel kon Microsoft de toegang tot alle 6,1 miljoen domeinen beveiligen en beheert het nu de in de VS gevestigde eigendommen.

De rest van de domeinen zijn gedeeld met internetregisters over de hele wereld, die vervolgens iedereen hebben geblokkeerd om de sites te beheren.

Necurs is waarschijnlijk het geesteskind van Russische hackers, die toegang tot het botnet hebben verhuurd aan andere cybercriminelen.

Als gevolg hiervan heeft het sinds 2012 een rol gespeeld in verschillende criminele programma's, waaronder spam-e-mailcampagnes en het verspreiden van andere malwarestammen zoals ransomware en Trojaanse paarden die de inloggegevens van uw bank kunnen stelen.

"Tijdens een periode van 58 dagen in ons onderzoek hebben we bijvoorbeeld vastgesteld dat een met Necurs geïnfecteerde computer in totaal 3,8 miljoen spam-e-mails verstuurde naar meer dan 40,6 miljoen potentiële slachtoffers", zei Microsoft VP Tom Burt in de aankondiging van vandaag.

Necurs zelf komt meestal op een pc terecht via andere malware die wordt verzonden via e-mailspam of kwaadaardige advertenties.

Zodra het is geïnfecteerd, zal Necurs proberen om de computer van het slachtoffer in het geheim in een e-mailserver te veranderen.

Tot op heden heeft het botnet minstens 9 miljoen computers over de hele wereld verstrikt, zegt Microsoft.

Microsoft heeft het Necurs-botnet verstoord, een van de grootste verspreiders van spam-e-mail en malware op internet.

Necurs werkt in feite als een verzameling door hackers bestuurde computers, die malware zullen gebruiken om andere machines te infecteren, vandaar de naam botnet.

Al die rekenkracht kan vervolgens worden aangewend om golven van spam te verzenden, samen met e-mails die andere kwaadaardige programma's bevatten, waaronder ransomware.

Maar dinsdag zei Microsoft dat het Necurs "aanzienlijk verstoorde" door na te gaan hoe het bestellingen op internet ontvangt.

Om het botnet te besturen, gebruiken de hackers achter Necurs obscure internetdomeinen, die nieuwe orders kunnen versturen naar de verzameling geïnfecteerde computers.

Door deze domeinen over te nemen, kunt u in theorie de toegang tot het botnet onderbreken.

Als reactie hierop hebben de hackers achter Necurs een 'domeingeneratie-algoritme' in hun botnet ingebouwd, dat tijdens het communicatieproces een lange lijst van steeds veranderende domeinsites doorloopt.

Dit kan beveiligingsonderzoekers afschrikken, waardoor het moeilijk wordt om vast te stellen van welke domeinen een botnet daadwerkelijk bestellingen ontvangt.

Uit eerder onderzoek naar Necurs is gebleken dat het botnet tot 2.048 verschillende domeinen zal genereren, die elke vier dagen zullen veranderen.

Desalniettemin heeft Microsoft het algoritme voor het genereren van domeinen van Necurs gekraakt; het bedrijf kon maar liefst 6,1 miljoen domeinen voorspellen die het botnet de komende 25 maanden zal gebruiken.

Met een Amerikaans gerechtelijk bevel kon Microsoft de toegang tot alle 6,1 miljoen domeinen beveiligen en beheert het nu de in de VS gevestigde eigendommen.

De rest van de domeinen zijn gedeeld met internetregisters over de hele wereld, die vervolgens iedereen hebben geblokkeerd om de sites te beheren.

Necurs is waarschijnlijk het geesteskind van Russische hackers, die toegang tot het botnet hebben verhuurd aan andere cybercriminelen.

Als gevolg hiervan heeft het sinds 2012 een rol gespeeld in verschillende criminele programma's, waaronder spam-e-mailcampagnes en het verspreiden van andere malwarestammen zoals ransomware en Trojaanse paarden die de inloggegevens van uw bank kunnen stelen.

"Tijdens een periode van 58 dagen in ons onderzoek hebben we bijvoorbeeld vastgesteld dat een met Necurs geïnfecteerde computer in totaal 3,8 miljoen spam-e-mails verstuurde naar meer dan 40,6 miljoen potentiële slachtoffers", zei Microsoft VP Tom Burt in de aankondiging van vandaag.

Necurs zelf komt meestal op een pc terecht via andere malware die wordt verzonden via e-mailspam of kwaadaardige advertenties.

Zodra het is geïnfecteerd, zal Necurs proberen om de computer van het slachtoffer in het geheim in een e-mailserver te veranderen.

Tot op heden heeft het botnet minstens 9 miljoen computers over de hele wereld verstrikt, zegt Microsoft.