A derrubada da botnet foi conseguida não só por meio de medidas técnicas mas também legais e é o resultado de oito anos de rastreamento e planejamento
O vice-presidente de Customer Security & Trust da Microsoft, Tom Burt, publicou hoje no blog da empresa um post para comunicar que a Microsoft e parceiros em 35 países conseguiram desarticular uma das maiores botnets do mundo, a Necurs, que já infectou mais de nove milhões de computadores. A ação foi conseguida não só por meio de medidas técnicas mas também legais e é o resultado de oito anos de rastreamento e planejamento. Burt afirma que isso ajudará a garantir que os criminosos por trás dessa rede não sejam mais capazes de usar os principais elementos de sua infraestrutura para executar ataques cibernéticos.
Uma das causas do sucesso da operação foi a quebra do algoritmo de geração de domínio (DGA) implementado pelo malware Necurs, que ajudou a botnet a permanecer resiliente por um longo tempo. O DGA é basicamente uma técnica para a geração de novos nomes de domínio aleatoriamente e em intervalos regulares, ajudando os autores do malware a mudar continuamente a localização dos servidores C&C e a manter a comunicação sem interrupções com as máquinas infectadas. Burt disse que foi possível prever com precisão mais de seis milhões de domínios que seriam criados nos próximos 25 meses. A Microsoft informou esses domínios para seus respectivos registros em países ao redor do mundo para que seu uso pudesse ser bloqueado, impedindo que se tornasse parte da infraestrutura da Necurs.
Segundo Burt, “a Necurs é uma das maiores redes do ecossistema de ameaças por email de spam, com vítimas em quase todos os países do mundo. Num período de 58 dias, um computador que fazia parte da Necurs enviou um total de 3,8 milhões de e-mails de spam a mais de 40,6 milhões de vítimas em potencial”. O VP da Microsoft disse também que “acredita-se que Necurs seja operada por criminosos sediados na Rússia. Também foi usada para uma ampla gama de crimes, para atacar outros computadores na Internet, roubar credenciais, informações pessoais e dados confidenciais. Curiosamente, parece que os criminosos por trás da Necurs vendem ou alugam acesso aos dispositivos de computador infectados a outros cibercriminosos como parte de um serviço de botnet para aluguel. A Necurs também é conhecida por distribuir malware e ransomware, e até possui um recurso de DDoS (negação de serviço distribuído) que ainda não foi ativado”.
