Microsoft slaat slag in strijd tegen Necurs-botnet van 9 miljoen systemen

Microsoft heeft het beheer over de Amerikaanse infrastructuur van het Necurs-botnet overgenomen en voorkomen dat het botnet zichzelf uitbreidt naar nieuwe domeinen wereldwijd. Het zou om een van 's werelds grootste botnets voor het verzenden van spam gaan.

Microsoft heeft op 5 maart van een gerechtshof in New York toestemming gekregen om het beheer van Amerikaanse domeinen die Necurs gebruikte over te nemen. Microsoft analyseerde bij het onderzoek naar het botnet de algoritmes die Necurs gebruikte om geautomatiseerd nieuwe domeinen te genereren. Dat stelde het bedrijf in staat vooraf de registrars in verschillende landen te waarschuwen en de registratie van de domeinen te voorkomen. Microsoft kon naar eigen zeggen voorspellen dat het botnet in vijfentwintig maanden meer dan zes miljoen domeinnamen ging registreren.

Daarmee heeft Microsoft naar eigen zeggen Necurs een flinke slag toegebracht. Vermoed wordt dat het botnet vanuit Rusland beheerd wordt en gebruikt werd om te verhuren aan criminelen. Vanaf de ontdekking in 2012 zagen onderzoekers al dat de criminelen de functionaliteit uitbreiden met modules. Het zou om het grootste botnet voor het verzenden van spamberichten gaan. Microsoft noemt als voorbeeld dat Necurs in de 58 dagen van het onderzoek 3,8 miljoen spamberichten naar 40,6 miljoen systemen verzond.

Ook wordt het botnet in verband gebracht met de verspreiding van malware, ransomware en fraudepogingen rond aandelen en dating. Daarnaast had het botnet de mogelijkheid ddos-aanvallen uit te voeren, maar deze was nog niet geactiveerd. Microsoft werkte samen met providers, registrars en overheidsorganisaties van onder andere Mexico, Colombia, Taiwan, India, Japan, Frankrijk, Spanje, Polen en Roemenië. In 2016 was het botnet al tijdelijk minder actief na de arrestatie van vijftig hackers in Rusland.

Reacties (18)

kuurtjes 11 maart 2020 15:19

Zijn dit 9 miljoen servers of eindgebruikers? En hoe werkte het registreren van domeinnamen? Daar moet toch voor betaald worden?

tweakPiet @kuurtjes • 11 maart 2020 15:30

Wat ik ooit heb begrepen is dat het hun niks kost omdat het een aantal dagen registratie vrij is. Dus registreren en over een paar dagen moet je pas betalen.
Wat ze doen (geautomatiseerd) is een domain registreren, voordat men moet betalen deze weer vrijgeven. Echter dezelfde naam wordt dan direct weer door een andere provider geclaimed (die ook onder hun controle staat). Na een paar dagen herhaalt de cyclus weer. Zo kan men dus de controle huden over een domain, zonder er voor hoeven te betalen.
Of dit nu ook nog kan weet ik niet. Maar dit was de praktijk van jaren geleden.

anpat @kuurtjes • 11 maart 2020 15:24

Ja daar moet voor betaaald worden, maar als je de inkomsten zou weten van die spam, is dat voor de makers de laagste uitgaven gok ik zomaar

kuurtjes @anpat • 11 maart 2020 18:32

Ik bedoelde eerder de technische kant van het automatisch kopen van deze domains.

HoleinOne @kuurtjes • 11 maart 2020 19:13

Dat kan via api's gewoon geautomatiseerd worden gedaan.

skunkopaat 11 maart 2020 17:27

Gaat dit daadwerkelijk een groot effect hebben, of blijft het een kat en muis spelletjes? Ik kan me voorstellen dat zo'n netwerk zo is weer is opgezet.

Kunnen deurbellen zoals een Ring ook onderdeel van zo'n botnet zoals dit zijn? Wat zijn de vereisten om deel te kunnen nemen aan zo'n botnet?

[Reactie gewijzigd door skunkopaat op 23 juli 2024 02:48]

thetakman @skunkopaat • 12 maart 2020 08:54

Naja ik weet niet hoe handig je bent, maar blokkeer poortje 25 op je firewall en je voorkomt al heel veel m.b.t. uitgaande spam vanaf je eigen apparaten mochten ze ooit overgenomen worden.

cyberpunkog 11 maart 2020 17:39

Hoe doe je dat, 3 miljoen berichten sturen naar 40 miljoen systemen? Is dat naar elk van de systemen 3 miljoen spam berichten? Of sturen ze dan naar elk systeem 1 tiende bericht?

McBacon @cyberpunkog • 12 maart 2020 08:46

Ik denk 3,8 miljoen unieke mailtjes verspreid over 40 mil systemen.

cyberpunkog @McBacon • 12 maart 2020 13:16

Ja ik denk dat ik het snap. 1 unieke mail gaat dan naar zo'n 10 systemen. Er waren dus 3,8 miljoen unieke emails. En 40 miljoen systemen hebben er last van gehad.

jmmk @cyberpunkog • 12 maart 2020 22:45

Ik vrees dat één unieke mail wel naar meer dan 10 systemen ging ;-)

Verwijderd 11 maart 2020 18:57

Heeft dit een verband met de spamgolf die de afgelopen maanden bij Microsoft-accounts plaatsvond?

Nickkert 11 maart 2020 15:15

Microsoft noemt als voorbeeld dat Necurs in de 58 dagen van het onderzoek 3,8 miljoen spamberichten naar 40,6 systemen verzond.

40,6 wat als ik vragen mag?

Perkouw Moderator GCC @Nickkert • 11 maart 2020 15:18

Uit de bron 40.6 million potential victims.

Nickkert @Perkouw • 11 maart 2020 15:21

Bedankt!
Ik zie nu dat ik er overheen gelezen (gescand) heb.

Verwijderd 11 maart 2020 15:12

dus ik krijg nu minder spam in mijn mail?

Verwijderd @Verwijderd • 11 maart 2020 17:34

Nee. In tegendeel. Zo'n botnet kan en wordt vaak gebruikt bij online form spam. Als jij een website hebt met een (onbeveiligd) contactformulier dan is het 99.9% de kans dat dit afkomstig is van zo'n soort botnet. Apart van het beveiligen van je formuliertje, kan het echt een pain in the ass te zijn de boel op te ruimen.

LEX63 12 maart 2020 10:16

Ik ben toch bang dat die criminelen wel weer een ander Botnet netwerk gaan opzetten.

Even rust maar dat zal niet lang duren en commerciële belangen zijn voor die criminelen veel te groot.
het zal op den duur een kat en muis spel gaan worden.

Op dit item kan niet meer gereageerd worden.

Lees meer

Reacties (18)

Sorteer op:

Weergave: