Wie Tom Burt, Corporate Vice President, Kundensicherheit und Vertrauen bei Microsoft, in seinem Blog schreibt, haben Microsoft und Partner in 35 Ländern koordinierte rechtliche und technische Schritte unternommen, um eines der produktivsten Botnetze der Welt, Necurs, zu (zer)stören, das weltweit mehr als neun Millionen Computer infiziert hat.
Diese Störung ist das Ergebnis von acht Jahren der Verfolgung und Planung und wird dazu beitragen, dass die Kriminellen hinter diesem Netzwerk nicht mehr in der Lage sind, Schlüsselelemente seiner Infrastruktur für Cyberangriffe zu verwenden. Ein Botnetz ist ein Netzwerk von Computern, die ein Cyberkrimineller mit schädlicher Software oder Malware infiziert hat. Einmal infiziert, können Kriminelle diese Computer fernsteuern und sie zur Begehung von Verbrechen verwenden. Die Digital Crimes Unit von Microsoft, Bitsight und andere Mitglieder der Sicherheitsgemeinschaft haben das Botnet von Necurs erstmals 2012 beobachtet und festgestellt, dass es verschiedene Arten von Malware verbreitet, darunter den „Gameover Zeus“-Banking-Trojaner.
Das Necurs-Botnetz ist eines der größten Netzwerke im Ökosystem für Spam-E-Mail-Bedrohungen, mit Opfern in fast allen Ländern der Welt. Während eines Zeitraums von 58 Tagen der Beobachtung wurde festgestellt, dass ein mit Necurs infizierter Computer insgesamt 3,8 Millionen Spam-E-Mails an über 40,6 Millionen Personen verschickt. Es wird angenommen, dass Necurs von in Russland ansässigen Kriminellen betrieben wird und auch für eine Vielzahl von Straftaten eingesetzt wurde, darunter Pump-and-Dump-Betrug, gefälschte pharmazeutische Spam-E-Mails und Betrug mit „russischer Datierung“. Es wurde auch verwendet, um andere Computer im Internet anzugreifen, Anmeldeinformationen für Online-Konten zu stehlen und persönliche Informationen und vertrauliche Daten von Personen zu stehlen. Interessanterweise scheinen die Kriminellen hinter Necurs den Zugang zu den infizierten Computergeräten im Rahmen eines Botnet-for-Hire-Dienstes an andere Cyberkriminelle zu verkaufen oder zu vermieten. Necurs ist auch dafür bekannt, finanziell zielgerichtete Malware und Ransomware sowie Cryptomining zu verbreiten, und verfügt sogar über eine DDoS-Funktion (Distributed Denial of Service), die noch nicht aktiviert wurde, aber jederzeit aktiviert werden kann.
Am Donnerstag, dem 5. März, erließ das US-Bezirksgericht für den Eastern District von New York einen Befehl, der es Microsoft ermöglicht, die Kontrolle über die in den USA ansässige Infrastruktur zu übernehmen, die Necurs zur Verbreitung von Malware und zur Infektion von Opfern verwendet. Mit diesen rechtlichen Schritten und einer Zusammenarbeit zwischen öffentlich-privaten Partnerschaften auf der ganzen Welt führt Microsoft Aktivitäten an, die verhindern, dass die Kriminellen hinter Necurs neue Domains registrieren, um künftig Angriffe auszuführen. Dies wurde erreicht, indem eine von Necurs verwendete Technik analysiert wurde, um mithilfe eines Algorithmus systematisch neue Domänen zu generieren. So konnten dann über sechs Millionen eindeutige Domains genau vorhersagt werden, die in den nächsten 25 Monaten erstellt werden würden. Microsoft hat diese Domains ihren jeweiligen Registraren in Ländern auf der ganzen Welt gemeldet, damit die Websites blockiert werden können und somit nicht Teil der Necurs-Infrastruktur werden können.
Microsoft unternimmt außerdem den zusätzlichen Schritt, mit Internet Service Providern (ISPs) und anderen weltweit zusammenzuarbeiten, um die Computer ihrer Kunden von Malware zu befreien, die mit dem Necurs-Botnetz verbunden ist. Diese Sanierungsbemühungen sind global ausgerichtet und umfassen die Zusammenarbeit mit Partnern aus Industrie, Regierung und Strafverfolgung über das Microsoft Cyber Threat Intelligence Program (CTIP). Über CTIP bietet Microsoft Strafverfolgungsbehörden, staatlichen Computer Emergency Response Teams (CERTs), ISPs und Regierungsbehörden, die für die Durchsetzung von Cybergesetzen und den Schutz kritischer Infrastrukturen verantwortlich sind, bessere Einblicke in die kriminelle Cyberinfrastruktur in ihrem Zuständigkeitsbereich sowie eine Sicht auf kompromittierte Computer und Opfer, die von einer solchen kriminellen Infrastruktur betroffen sind.
Um sicherzustellen, dass Ihr Computer frei von Malware ist, besuchen Sie support.microsoft.com/botnets
