Colaborarea public-privat duce la dezmembrarea celei mai mare rețele de criminalitate online din lume

Foto:

Parteneri din mediul public (inclusiv CERT-RO) și cel privat din 35 de țări au contribuit la acțiunea inițată de Microsoft pentru a întrerupe funcționarea uneia dintre cele mai prolifice rețele de botnet din lume, denumită Necurs, care a infectat peste nouă milioane de computere.

Necurs este un program malware de tip rootkit care facilitează instalarea unor alte programe de tip malware, în principal ransomware, fiind răspunzator de distribuția ransomware-urilor Dridex,  Bart, Rockloader sau Locky. Totodată, Necurs este folosit și pentru colectarea și extragerea de date bancare, de portofele de criptomonedă sau chiar pentru minarea de criptomonedă.

CERT-RO monitorizează și analizează zilnic, prin intermediul senzorilor proprii, atacuri asupra unor rețele și implicit asupra unor utilizatori din România. Din datele colectate, în ultimul timp echipa de analiști a CERT-RO a sesizat o creștere exponențială a campaniilor de tip spam pe e-mail. Aceste date au fost sincronizate cu datele colectate de Microsoft în acest sens, la nivel mondial. Doar în ultimele 30 de zile au fost observate peste 2 milioane de infecții la nivel global.

Acțiunea de dezmembrare și întrerupere a funcționării acestei rețele infracționale este rezultatul a opt ani de efort investigativ la nivel mondial și va contribui la incapacitarea infractorilor din spatele acestei rețele să utilizeze elemente cheie ale infrastructurii, pentru a întreprinde atacuri cibernetice. Astfel, în ultimele zile s-a lucrat intens la procesul de luare a măsurilor legale și tehnice coordonate, pentru a întrerupe funcționarea uneia dintre cele mai prolifice rețele de botnet din lume.

Ce este un botnet și cum funcționează?

Un botnet este o rețea de computere pe care infractorii cibernetici le-au infectat cu software malițios. După ce dispozitivele au fost infectate cu malware, infractorii cibernetici le pot controla de la distanță și le pot folosi pentru a comite infracțiuni.

Microsoft Digital Crimes Unit și alți membri ai comunității de securitate cibernetică au observat pentru prima dată botnetul Necurs în 2012 și au remarcat că distribuie mai multe forme de malware, inclusiv trojanul bancar GameOver Zeus.

Cum acționa botnetul Necurs?

Se consideră că Necurs este operat de infractori din Rusia și că a fost folosit și pentru înșelăciuni de tip pump and dump stock, trimiterea de e-mailuri de tip spam cu produse farmaceutice false, precum și spam sau înșelătorii de tip Russian dating.

Activitățile infracționale au continuat prin derularea de activități care variază de la atacarea altor computere conectate la internet la furt de credențiale pentru conturi online, furt de informații personale de identificare, furt de date confidențiale, vânzarea sau închirierea accesului la computerele infectate către alți infractori cibernetici și alte activități ilegale.

Pe parcursul unei perioade de 58 de zile din cadrul efortului investigativ comun, s-a observat observat că un computer infectat cu Necurs a trimis un număr total de 3,8 milioane de e-mailuri spam la peste 40,6 milioane de potențiale victime. Necurs este totodată cunoscut pentru distribuirea de malware cu scopuri financiare și de ransomware, minare de criptomonedă și are chiar capabilități de a lansa atacuri de tip DDoS, care nu a fost încă activată, dar ar putea fi în orice moment.

Măsuri legale

Joi, 5 martie, Curtea Districtuală a Statelor Unite din Districtul de Est al New York (U.S. District Court for the Eastern District of New York) a emis un ordin care permite Microsoft să preia controlul asupra infrastructurii localizate în S.U.A. pe care Necurs o folosește pentru a distribui malware și a infecta calculatoarele victimelor.

Prin această acțiune legală și printr-un efort de colaborare care implică parteneriate public-privat pe întreg globul, Microsoft și partenerii săi derulează activități care vor duce la blocarea infractorilor cibernetici din spatele Necurs să înregistreze noi domenii pe internet, astfel încât să nu poată fi folosite pentru a întreprinde atacuri cibernetice în viitor.

Acest lucru a fost realizat prin analizarea unei tehnici utilizate de Necurs pentru a genera sistematic noi domenii, pe baza unui algoritm. Aceste informații au ajutat echipa investigativă să anticipeze cu exactitate peste șase milioane de domenii unice care ar urma să fie create, în următoarele 25 de luni. Microsoft a raportat aceste domenii la registrarii autorizați din întreaga lume, astfel încât site-urile web să poată fi blocate și totodată să se prevină trecerea lor în infrastructura Necurs. Prin preluarea controlului asupra site-urilor web existente și prin blocarea capacității de a înregistra altele noi, s-a perturbat semnificativ răspândirea și implict activitatea botnetului.

Cum te poți dezinfecta, dacă ai căzut victimă a Necurs?

Microsoft întreprinde acțiuni suplimentare în parteneriat cu furnizorii de servicii Internet (ISP-uri) și alte entități din întreaga lume, pentru a curăța computere infectate de malware-ul asociat cu botnet-ul Necurs. Acest efort de remediere se derulează la nivel global și implică colaborarea cu parteneri din industrie, guvernamentali și din sfera autorităților de aplicare a legii prin intermediul Microsoft Cyber Threat Intelligence Program (CTIP).

Prin intermediul CTIP, Microsoft furnizează agențiilor de aplicare a legii și autorităților de tip Computer Emergency Response Teams (CERT-uri), ISP-urilor și agențiilor guvernamentale responsabile pentru aplicarea legii și protejarea infrastructurii critice, informații utile cu privire la infrastructuri informatice criminale situate în jurisdicția lor, precum și o imagine a computerelor compromise și a victimelor afectate de astfel de infrastructuri de criminalitate informatică.

Pentru dezmembrare a rețelei Necurs s-a colaborat îndeaproape cu ISP-uri, registre de domenii, agenții guvernamentale de tip CERT și organisme de aplicare a legii din țări precum Mexic, Columbia, Taiwan, India, Japonia, Franța, Spania, Polonia și România, printre altele. Fiecare dintre noi are un rol esențial de jucat pentru a proteja utilizatorii și a menține mediul online în siguranță.

Una dintre acțiunile concrete recomandate tuturor utilizatorilor de sisteme informatice o reprezintă verificarea sistemelor pentru identificarea unei eventuale infecții cu aplicația malițioasă utilizată în acest atac cibernetic.

Astfel, CERT-RO și Microsoft vă recomandă în primul rând să verificați dacă PC-ul dvs. nu a fost afectat de acest tip de malware. Pentru acest lucru, vă punem la dispoziție o unealtă de scanare, disponibilă și descărcabilă online de aici: support.microsoft.com/botnets.

Acest instrument de scanare este conceput pentru a găsi și elimina acest tip de malware corespondent botnetului Necurs, de pe computerele cu Windows. Pur și simplu descărcați-l și executați o scanare a calculatorului. Acest software trebuie declanșat manual și este disponibil pentru utilizare până la 10 zile după descărcare.

Vă recomandăm să descărcați întotdeauna cea mai recentă versiune a acestuia, înainte de fiecare scanare. Este important de știut faptul că acest instrument nu înlocuiește un eventual produs anti-malware și este dedicat exclusiv pentru cazurile de posibilă infecție cu Necurs.