Overslaan en naar de inhoud gaan

Microsoft verstoort Necurs-botnet van 9 miljoen geïnfecteerde computers

Microsoft heeft samen met partners uit 35 landen een grootschalig botnet verstoord. Het gaat om het Necurs-botnet, dat uit ruim 9 miljoen geïnfecteerde computers wereldwijd bestaat. Necurs is volgens Microsoft zelf één van de grootste netwerken dat gebruikt wordt voor onder meer spammails.
vensters, Microsoft
© Pixabay
Pixabay

Necurs werd in 2012 voor het eerst geobserveerd door de Digital Crimes Unit van Microsoft, BitSight en anderen in de beveiligingsgemeenschap, schrijft Microsoft in een blogbericht. Op 5 maart dit jaar kreeg Microsoft toestemming om de controle over de Amerikaanse infrastructuur die Necurs gebruikt om malware te verspreiden en slachtoffers te infecteren, over te nemen. Daardoor moet voorkomen worden dat de criminelen achter Necurs nieuwe domeinen registreren om aanvallen uit te voeren.

Microsoft analyseerde voor deze actie een techniek die Necurs gebruikt om via een algoritme systematisch nieuwe domeinen te genereren. "Vervolgens konden we accuraat voorspellen welke 6 miljoen unieke domeinen in de 25 maanden daarna werden aangemaakt", aldus het techbedrijf. De domeinen zijn gerapporteerd bij de registries in de desbetreffende landen, zodat de websites geblokkeerd werden en geen onderdeel konden worden van de infrastructuur van Necurs. 

"Door de controle over bestaande websites over te nemen en de mogelijkheid om nieuwe domeinen aan te maken te remmen, hebben we het botnet significant kunnen verstoren." 

58 dagen, miljoenen mails

Dat Necurs ontzettend grootschalig is, blijkt wel uit observaties van Microsoft. Het bedrijf zag tijdens zijn onderzoek hoe één met Necurs geïnfecteerde computer in 58 dagen maar liefst 3,8 miljoen spammails verstuurde naar ruim 40,6 miljoen potentiële slachtoffers. Microsoft denkt dan ook dat het botnet slachtoffers in vrijwel ieder land ter wereld heeft. 

Microsoft vermoedt dat Russische criminelen achter het botnet zitten. Het netwerk niet alleen voor spammails gebruikt, maar ook om andere computers op het internet aan te vallen en om inloggegevens van online accounts te stelen. Het lijkt er dan ook op dat (delen van) het botnet verhuurd of verkocht worden aan andere criminelen. Onder meer de Russische hackgroep TA505 heeft Necurs gebruikt. TA505 zat vermoedelijk ook achter de ransomware-aanval op Maastricht University

Microsoft heeft laten weten dat het samenwerkt met Internet Service Providers en andere partners wereldwijd om computers van slachtoffers te ontdoen van malware die geassocieerd is met Necurs.

Reacties

Om een reactie achter te laten is een account vereist.

Inloggen Word abonnee

Bevestig jouw e-mailadres

We hebben de bevestigingsmail naar %email% gestuurd.

Geen bevestigingsmail ontvangen? Controleer je spam folder. Niet in de spam, klik dan hier om een account aan te maken.

Er is iets mis gegaan

Helaas konden we op dit moment geen account voor je aanmaken. Probeer het later nog eens.

Maak een gratis account aan en geniet van alle voordelen:

Heb je al een account? Log in

Maak een gratis account aan en geniet van alle voordelen:

Heb je al een account? Log in