Megbénított botnet – zsarolólevélgyár

Sikeresen leállítottak egy botnet hálózatot, mely a Necurs kártevő által megfertőzött 9 millió számítógépből és a mögöttes infrastruktúrából állt.

A hálózat lekapcsolása nem volt egyszerű, ehhez 35 ország rendőrségének és magánvállalatok összehangolt akciójára volt szükség, hogy az először 2012-ben jelentkező Necurs kártevő által létrehozott botnet hálózatot le tudják kapcsolni.

A kártevő mindeddig 9 millió számítógépet fertőzött meg, és az így létrehozott botnet-hálózatot arra használta, hogy zsarolóvírusokat, kártevőket terjesszen szerte a világban.

A hálózatot azért volt nehéz lekapcsolni, mert egy domain-neveket generáló algoritmus segítségével a kártevő központja folyamatosan változott: amint észrevették, hogy esetleg az adott domain-nevet a hatóságok felfedezték, generáltak egy másikat, bejegyezték, majd oda költözött az ellenőrzőközpont.

Az üldözőknek azonban sikerült egy lépéssel a Necurs kártevő elé kerülni. A Microsoft segítségével több mint hatmillió olyan domain-nevet jósoltak meg precízen, melyet a kártevő nagy valószínűséggel a jövőben használhatott volna ellenőrző központja virtuális székhelyéül. Ezeket a domain-neveket jelentették az országok weboldal regisztrációval foglalkozó hatóságainak, így a kártevő már nem tudja használni őket.

Ugyanakkor a bírósági eljárás végén a Microsoftnak sikerült a kártevő amerikai infrastruktúráját ellenőrzése alá vonnia, így az képtelen további számítógépeket megfertőzni.

A Necurs kártevőt igazán csak 2017-ben fedezték fel a szakértők, de ez még nem volt elég ahhoz, hogy a hálózatot felszámolják – most sem tudták megszüntetni, csak ellehetetlenítik a működését. A botnet, miután megfertőzte a kiszemelt számítógépet, egy sor IT-biztonsági alkalmazás működését megakadályozta, a többi között a Microsoft operációs rendszerébe beépített Windows-tűzfalat is. Így nem meglepő, hogy a koordinált erőfeszítést maga a Microsoft vezette.

Ha a biztonsági megoldást kiiktatta a kártevő, akkor saját céljaira használhatta az adott gépet: innen indíthatta el a kéretlen levelek tömkelegét, az adathalász leveleket, telepíthetett a gépekre a banki adatokat ellopó trójait, a kripto-pénztárcákat kifosztó kártevőt, akár zsarolóvírust is. Három éven keresztül, 2016–19 között a Necurs botnet terjesztette az e-mailben terjedő kártevők 90 százalékát, a spam-ek és kártevők első számú terjesztési hálózatának számított.

A kutatók 58 napig folyamatosan figyelték a

hálózat működését, ebben az időszakban egyetlen Necurs által megfertőzött számítógép 3,8 millió spam-levelet küldött 40,6 millió lehetséges áldozatnak. Egyes esetekben a támadók a hagyományos zsarolástól sem riadtak vissza, azt állítván, hogy konkrét bizonyítékkal rendelkeznek az áldozat házastársi hűtlenségéről.

A kártevő által érintett országok mindenekelőtt India, Indonézia, Törökország, Vietnam, Mexikó, Thaiföld, Irán, Fülöp-szigetek, Brazília. (Forrás: The Hacker News cikke)