Microsoft Cripples Necurs Botnet genom att förutsäga sina kommunikationsmönster

Microsoft har stört Necurs botnet, en av de största distributörerna av skräppost och skadlig programvara på internet.

Necurs fungerar i grunden som en samling av hackarkontrollerade datorer, som kommer att använda skadlig kod för att försöka infektera andra maskiner, därav namnet botnet.

All den datorkraften kan sedan utnyttjas för att skicka ut vågor av skräppost, tillsammans med e-postmeddelanden som innehåller andra skadliga program, inklusive ransomware.

Men på tisdag sa Microsoft att det "störde" Necurs avsevärt genom att följa hur det tar emot beställningar på internet.

För att kontrollera botnet använder hackarna bakom Necurs obskyra internetdomäner, som kan skicka ut nya beställningar till samlingen av infekterade datorer.

Att ta över dessa domäner innebär att du teoretiskt kan avbryta åtkomsten till botnet.

Så som svar byggde hackarna bakom Necurs en "domängenereringsalgoritm" i sitt botnet, som kommer att gå igenom en lång lista med ständigt föränderliga domänwebbplatser under kommunikationsprocessen.

Detta kan kasta bort säkerhetsforskare, vilket gör det svårt att hitta vilka domäner ett botnet faktiskt får order från.

Tidigare forskning om Necurs har visat att botnet genererar upp till 2048 olika domäner, vilket kommer att ändras var fjärde dag.

Ändå knäckte Microsoft Necurs domängenereringsalgoritm; företaget kunde förutsäga hela 6,1 miljoner domäner som botnet är planerat att använda under de kommande 25 månaderna.

Med ett amerikanskt domstolsbeslut kunde Microsoft då säkra åtkomst till alla 6,1 miljoner domäner och kontrollerar nu de USA-baserade fastigheterna.

Resten av domänerna har delats med internetregister över hela världen, som har fortsatt att hindra någon från att kontrollera webbplatserna.

Necurs är troligen hjärnbarnet för ryska hackare, som har hyrt ut tillgång till botnet till andra cyberbrottslingar.

Som ett resultat har det spelat en roll i en rad olika kriminella system sedan 2012, inklusive skräppostkampanjer samt spridning av andra skadliga programstammar som ransomware och trojaner som kan stjäla din bankinloggningsinformation.

"Under en 58-dagarsperiod i vår undersökning, till exempel, observerade vi att en Necurs-infekterad dator skickade totalt 3,8 miljoner skräppostmeddelanden till över 40,6 miljoner potentiella offer", säger Microsoft VP Tom Burt i dagens tillkännagivande.

Necurs själv hamnar vanligtvis på en dator via annan skadlig kod som skickas via skräppost eller skadliga annonser via e-post.

När den har smittats försöker Necurs i hemlighet förvandla offrets dator till en e-postserver.

Hittills har botnet förankrat minst 9 miljoner datorer över hela världen, säger Microsoft.

Microsoft har stört Necurs botnet, en av de största distributörerna av skräppost och skadlig programvara på internet.

Necurs fungerar i grunden som en samling av hackarkontrollerade datorer, som kommer att använda skadlig kod för att försöka infektera andra maskiner, därav namnet botnet.

All den datorkraften kan sedan utnyttjas för att skicka ut vågor av skräppost, tillsammans med e-postmeddelanden som innehåller andra skadliga program, inklusive ransomware.

Men på tisdag sa Microsoft att det "störde" Necurs avsevärt genom att följa hur det tar emot beställningar på internet.

För att kontrollera botnet använder hackarna bakom Necurs obskyra internetdomäner, som kan skicka ut nya beställningar till samlingen av infekterade datorer.

Att ta över dessa domäner innebär att du teoretiskt kan avbryta åtkomsten till botnet.

Så som svar byggde hackarna bakom Necurs en "domängenereringsalgoritm" i sitt botnet, som kommer att gå igenom en lång lista med ständigt föränderliga domänwebbplatser under kommunikationsprocessen.

Detta kan kasta bort säkerhetsforskare, vilket gör det svårt att hitta vilka domäner ett botnet faktiskt får order från.

Tidigare forskning om Necurs har visat att botnet genererar upp till 2048 olika domäner, vilket kommer att ändras var fjärde dag.

Ändå knäckte Microsoft Necurs domängenereringsalgoritm; företaget kunde förutsäga hela 6,1 miljoner domäner som botnet är planerat att använda under de kommande 25 månaderna.

Med ett amerikanskt domstolsbeslut kunde Microsoft då säkra åtkomst till alla 6,1 miljoner domäner och kontrollerar nu de USA-baserade fastigheterna.

Resten av domänerna har delats med internetregister över hela världen, som har fortsatt att hindra någon från att kontrollera webbplatserna.

Necurs är troligen hjärnbarnet för ryska hackare, som har hyrt ut tillgång till botnet till andra cyberbrottslingar.

Som ett resultat har det spelat en roll i en rad olika kriminella system sedan 2012, inklusive skräppostkampanjer samt spridning av andra skadliga programstammar som ransomware och trojaner som kan stjäla din bankinloggningsinformation.

"Under en 58-dagarsperiod i vår undersökning, till exempel, observerade vi att en Necurs-infekterad dator skickade totalt 3,8 miljoner skräppostmeddelanden till över 40,6 miljoner potentiella offer", säger Microsoft VP Tom Burt i dagens tillkännagivande.

Necurs själv hamnar vanligtvis på en dator via annan skadlig kod som skickas via skräppost eller skadliga annonser via e-post.

När den har smittats försöker Necurs i hemlighet förvandla offrets dator till en e-postserver.

Hittills har botnet förankrat minst 9 miljoner datorer över hela världen, säger Microsoft.