Necurs: Microsoft übernimmt die US-Infrastruktur des Botnet

Publiziert am 11. März 2020 von Günter Born

[English]Microsoft ist es gelungen, die in den USA angesiedelten Teile der Infrastruktur des Necurs-Botnetzes zu übernehmen. Das hat das Unternehmen gerade mitgeteilt.

Anzeige

Ich bin gestern Abend über Artikel sowie über den nachfolgenden Tweet von Microsoft auf die Geschichte aufmerksam geworden.

Die Beschlagnahmung der US-Infrastruktur des kriminellen Netzwerks war Teil einer koordinierten Aktion, die sich über 35 Länder erstreckte.

Was ist Necurs?

Das Necurs-Botnet ist eines der größten Netzwerke zum Versenden von Spam-E-Mails, welches weltweit operiert. Daher gibt es Opfern in fast allen Ländern der Erde. In einem Untersuchungszeitraum von 58 Tagen hat Microsoft beispielsweise beobachtet, dass ein mit Necurs infizierter Computer insgesamt 3,8 Millionen Spam-E-Mails an über 40,6 Millionen potenzielle Opfer versandt hat.

Anzeige

Es wird angenommen, dass Necurs von Cyber-Kriminellen mit Sitz in Russland betrieben wird. Das Botnetz wird für ein breites Spektrum von Straftaten eingesetzt. Darunter ist der Betrug mit Pump-and-Dump-Aktien, Spam-E-Mails die gefälschte pharmazeutische Substanzen anbieten sowie Spam-Mails für einen Betrug mit "russischen Dating-Seiten". Das Necurs-Botnet wurde auch dazu benutzt, andere Computer im Internet anzugreifen und Trojaner oder andere Malware auszuliefern. Diese Schadsoftware hat Zugangsdaten für Online-Konten gestohlen und persönliche Informationen sowie vertrauliche Daten von Personen abgezogen.

KRITIS-Netzwerk
(Quelle: Pexels Markus Spiske CC0 Lizenz)

Necurs ist auch dafür bekannt, dass es gezielt Malware und Ransomware verteilt, Kryptomining auf infizierten Geräten betreibt und sogar eine DDoS-Fähigkeit (Distributed Denial of Service) besitzt. Letztere wurde noch nicht aktiviert, könnte aber jederzeit aktiviert werden. Die Cyber-Kriminellen hinter Necurs bieten den Zugang zu den infizierten Systemen sowie die Funktionen des Botnet anderen Cyberkriminellen als Botnet-for-hire-Dienstes zum Kauf bzw. zur Miete an.

Beschlagnahmung der US-Infrastruktur

Am Donnerstag, den 5. März, erließ das US-Bezirksgericht für den östlichen Bezirk von New York eine Anordnung, die es Microsoft ermöglicht, die Kontrolle über die US-basierte Infrastruktur zu übernehmen, die Necurs zur Verbreitung von Malware und zur Infizierung der Computer der Opfer nutzt.

Gleichzeitig wurde die Aktion weltweit mit Behörden in weiteren 35 Ländern koordiniert. Dies soll die Kriminellen hinter Necurs daran hindern, neue Domänen zu registrieren, um in Zukunft Angriffe über das Botnet auszuführen. Möglich wurde dies durch die Analyse des Algorithmus, der von Necurs zur systematischen Generierung neuer Domain-Namen verwendet wird.

Die Sicherheitsforscher waren dann in der Lage, mehr als sechs Millionen einzigartige Domänennamen vorherzusagen, die in den nächsten 25 Monaten geschaffen werden sollten. Microsoft meldete diese Domänen an ihre jeweiligen Registrierungsstellen in Ländern auf der ganzen Welt, so dass diese Domain-Namen für eine Registrierung blockiert werden. Die Cyber-Kriminellen werden somit daran gehindert, diese Domains als neuen Teil der Necurs-Infrastruktur zu nutzen.

Durch Übernahme der Kontrolle über bestehende Websites des Necurs Botnetes und die Möglichkeit zur Registrierungssperre neuer Websites, geht Microsoft davon aus, dass der Betrieb des Botnetzes erheblich gestört werden konnte.

Säubern infizierter Rechner

Microsoft arbeitet mit Internet Service Providern (ISPs) und anderen Partnern auf der ganzen Welt zusammen, um die Computer ihrer Kunden von der mit dem Necurs-Botnet ausgelieferten Malware zu befreien. Die Maßnahmen sind von globalem Ausmaß und umfassen die Zusammenarbeit mit Partnern in der Industrie, der Regierung und den Strafverfolgungsbehörden über das Microsoft Cyber Threat Intelligence Program (CTIP).

Über das CTIP bietet Microsoft den Strafverfolgungsbehörden, staatlichen Computer-Notfallteams (CERTs), Internetanbietern und Regierungsbehörden, die für die Durchsetzung von Cybergesetzen und den Schutz kritischer Infrastrukturen zuständig sind, einen besseren Einblick in die kriminelle Cyberinfrastruktur in ihrem Zuständigkeitsbereich sowie einen Überblick über gefährdete Computer und Opfer, die von dieser kriminellen Infrastruktur betroffen sind.

Für diese Aktion arbeitet Microsoft mit ISPs, Domain-Registrierungsstellen, staatlichen CERTs und Strafverfolgungsbehörden u.a. in Mexiko, Kolumbien, Taiwan, Indien, Japan, Frankreich, Spanien, Polen und Rumänien zusammen.

Ähnliche Artikel:
Necurs verteilt Flawed Ammyy RAT per Excel IQY-Dateien
Locky-Ransomware im September 2017 wieder an der Spitze
Spam-Welle verbreitet neue Locky-Ransomware-Version
Malwarebytes-Analyse: Wie sich WannaCry verbreitete
SentinelLabs identifiziert Kooperation von Botnet-Gruppen
GoldBrute: Botnet-Angriff auf RDP-Server
Botnetz von 20.000 infizierten WordPress-Sites
Botnet bedroht 116 Router-Modelle über UPnP-Lücke

Anzeige
Dieser Beitrag wurde unter Sicherheit abgelegt und mit , verschlagwortet. Setze ein Lesezeichen auf den Permalink.

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert

Hinweis: Bitte beachtet die Regeln zum Kommentieren im Blog (Erstkommentare und Verlinktes landet in der Moderation, gebe ich alle paar Stunden frei, SEO-Posts/SPAM lösche ich rigoros). Kommentare abseits des Themas bitte unter Diskussion.

Du findest den Blog gut, hast aber Werbung geblockt? Du kannst diesen Blog auch durch eine Spende unterstützen.