Microsoft prende il controllo della botnet Necurs, responsabile di massive campagne di spam e distribuzione malware

Ogni tanto, anche il cyber crimine perde. Microsoft ha annunciato ieri di essere riuscita a prendere il controllo della infrastruttura, per lo più concentrata negli Stati Uniti, della botnet Necurs. Una botnet impiegata prevalentemente per la distribuzione dei payload di vari malware attraverso massive campagne di spam e responsabile dell'infezione di milioni (si, siamo nell'ordine dei milioni) di computer infetti. Per dare un'idea del potenziale di questa botnet, Microsoft ha pubblicato alcuni dati, spiegando che, dalle analisi, è risultato che un singolo dispositivo infettato da questa rete è stato osservato ad inviare 3.8 milioni di messaggi di spam a più di 40.6 milioni di target nell'arco di 58 giorni. 

"Martedì 5 Marzo la U.S District Court per il distretto est di New York ha dato il via libera formale affinchè Microsoft potesse prendere il controllo della infrastruttura Necurs, usata per distribuire malware e infettare i computer delle vittime" ha dichiarato il Tom Burt, Vice Presidente per la sicurezza degli utenti di Microsoft Corporation. "Con questa azione legale e grazie allo sforzo collaborativo che ha coinvolto partner sia del pubblico che del privato in varie parti del mondo, Microsoft sta conducendo una serie di attività che impediranno ai criminali dietro a Necurs di registrare nuovi domini per perpetrare nuovi attacchi in futuro". 

La botne Necurs: qualche dato in più

La botnet Necurs fu individuata nel 2012, collegata ad alcune risorse afferenti al gruppo di cyber criminali TA505, gli stessi operatori del trojan bancario Dridex. La botnet è usata anche per il furto di credenziali per gli account online, il furto di informazioni personali e sensibili su tutti i computer e dispositivi infetti, oltre che, come dicevamo per massive campagne di email di malspam, spam e phishing.

Il malware alla base della botnet, Necurs appunto, è un malware modulare, con moduli dedicati alla distribuzione di email di spam, ma anche per reindirizzare il traffico tramite proxy di rete HTTPS e SOCKS sui dispositivi infetti, così come per lanciare attacchi DDOS: la funzionalità di attacco DDOS è però più recente, dato che il modulo apposito è stato introdotto nel 2017. 

L'intera infrastruttura, o porzioni di essa, è in affitto sul dark web, quindi è utilizzata anche da altri cyber attaccanti per portare svariate tipologie di attacco. 

Le azioni di contrasto di Microsoft

Microsoft è riuscita a prendere il controllo dei domini della botnet analizzando la tecnica usata da Necurs di generare sistematicamente nuovi domini tramite algoritmo. Questo ha consentito di predire ben 6 milioni di domini che gli operatori della botnet avrebbero creato in futuro e usato come infrastruttura per i prossimi due anni. 

"Microsoft ha segnalato questi domini ai rispettivi registri di svariati paesi nel mondo, così è stato possibile bloccarli e, quindi, impedire preventivamente il loro inserimento nell'infrastruttura di Necurs" ha continuato Burt. Oltre a ciò Microsoft, in collaborazione con alcuni Internet Service Provider e altri partner, sta cercando di individuare e rimuovere il malware Necurs da quanti più dispositivi infetti possibile.