{"id":229312,"date":"2020-03-11T09:00:14","date_gmt":"2020-03-11T08:00:14","guid":{"rendered":"https:\/\/www.borncity.com\/blog\/?p=229312"},"modified":"2020-03-11T09:14:51","modified_gmt":"2020-03-11T08:14:51","slug":"necurs-microsoft-bernimmt-die-us-infrastruktur-des-botnet","status":"publish","type":"post","link":"https:\/\/borncity.com\/blog\/2020\/03\/11\/necurs-microsoft-bernimmt-die-us-infrastruktur-des-botnet\/","title":{"rendered":"Necurs: Microsoft &uuml;bernimmt die US-Infrastruktur des Botnet"},"content":{"rendered":"<p><img loading=\"lazy\" decoding=\"async\" style=\"float: left; margin: 0px 10px 0px 0px; display: inline\" src=\"https:\/\/borncity.com\/blog\/wp-content\/uploads\/2015\/01\/Schutz.jpg\" width=\"40\" align=\"left\" height=\"47\"\/>[<a href=\"https:\/\/borncity.com\/win\/2020\/03\/11\/microsoft-takes-control-over-the-us-parts-of-the-necurs-botnet\/\" target=\"_blank\" rel=\"noopener noreferrer\">English<\/a>]Microsoft ist es gelungen, die in den USA angesiedelten Teile der Infrastruktur des Necurs-Botnetzes zu \u00fcbernehmen. Das hat das Unternehmen gerade mitgeteilt.<\/p>\n<p><!--more--><\/p>\n<p><img loading=\"lazy\" decoding=\"async\" alt=\"\" src=\"https:\/\/vg02.met.vgwort.de\/na\/0b557543f69e4363b533193a79fa264f\" width=\"1\" height=\"1\"\/>Ich bin gestern Abend \u00fcber Artikel sowie \u00fcber den nachfolgenden Tweet von Microsoft auf die Geschichte aufmerksam geworden.<\/p>\n<blockquote class=\"twitter-tweet\">\n<p lang=\"en\" dir=\"ltr\">Microsoft, working with partners across 35 countries, has disrupted the <a href=\"https:\/\/twitter.com\/hashtag\/Necurs?src=hash&amp;ref_src=twsrc%5Etfw\">#Necurs<\/a> botnet, which has been used for a wide range of crimes including pump-and-dump stock scams, fake pharmaceutical spam email, distributing financially targeted malware and ransomware, cryptomining, etc. <a href=\"https:\/\/t.co\/cMtuTqOhpt\">https:\/\/t.co\/cMtuTqOhpt<\/a><\/p>\n<p>\u2014 Microsoft Security Intelligence (@MsftSecIntel) <a href=\"https:\/\/twitter.com\/MsftSecIntel\/status\/1237421945152368642?ref_src=twsrc%5Etfw\">March 10, 2020<\/a><\/p><\/blockquote>\n<p><script async src=\"https:\/\/platform.twitter.com\/widgets.js\" charset=\"utf-8\"><\/script> <\/p>\n<p>Die Beschlagnahmung der US-Infrastruktur des kriminellen Netzwerks war Teil einer koordinierten Aktion, die sich \u00fcber 35 L\u00e4nder erstreckte.<\/p>\n<h2>Was ist Necurs?<\/h2>\n<p>Das Necurs-Botnet ist eines der gr\u00f6\u00dften Netzwerke zum Versenden von Spam-E-Mails, welches weltweit operiert. Daher gibt es Opfern in fast allen L\u00e4ndern der Erde. In einem Untersuchungszeitraum von 58 Tagen hat Microsoft beispielsweise beobachtet, dass ein mit Necurs infizierter Computer insgesamt 3,8 Millionen Spam-E-Mails an \u00fcber 40,6 Millionen potenzielle Opfer versandt hat.<\/p>\n<p>Es wird angenommen, dass Necurs von Cyber-Kriminellen mit Sitz in Russland betrieben wird. Das Botnetz wird f\u00fcr ein breites Spektrum von Straftaten eingesetzt. Darunter ist der Betrug mit Pump-and-Dump-Aktien, Spam-E-Mails die gef\u00e4lschte pharmazeutische Substanzen anbieten sowie Spam-Mails f\u00fcr einen Betrug mit \"russischen Dating-Seiten\". Das Necurs-Botnet wurde auch dazu benutzt, andere Computer im Internet anzugreifen und Trojaner oder andere Malware auszuliefern. Diese Schadsoftware hat Zugangsdaten f\u00fcr Online-Konten gestohlen und pers\u00f6nliche Informationen sowie vertrauliche Daten von Personen abgezogen.<\/p>\n<p><img decoding=\"async\" title=\"KRITIS-Netzwerk\" alt=\"KRITIS-Netzwerk\" src=\"https:\/\/i.imgur.com\/yNk8TvY.jpg\"\/><br \/>(Quelle: Pexels Markus Spiske CC0 Lizenz) <\/p>\n<p>Necurs ist auch daf\u00fcr bekannt, dass es gezielt Malware und Ransomware verteilt, Kryptomining auf infizierten Ger\u00e4ten betreibt und sogar eine DDoS-F\u00e4higkeit (Distributed Denial of Service) besitzt. Letztere wurde noch nicht aktiviert, k\u00f6nnte aber jederzeit aktiviert werden. Die Cyber-Kriminellen hinter Necurs bieten den Zugang zu den infizierten Systemen sowie die Funktionen des Botnet anderen Cyberkriminellen als Botnet-for-hire-Dienstes zum Kauf bzw. zur Miete an. <\/p>\n<h2>Beschlagnahmung der US-Infrastruktur<\/h2>\n<p>Am Donnerstag, den 5. M\u00e4rz, erlie\u00df das US-Bezirksgericht f\u00fcr den \u00f6stlichen Bezirk von New York eine Anordnung, die es Microsoft erm\u00f6glicht, die Kontrolle \u00fcber die US-basierte Infrastruktur zu \u00fcbernehmen, die Necurs zur Verbreitung von Malware und zur Infizierung der Computer der Opfer nutzt. <\/p>\n<p>Gleichzeitig wurde die Aktion weltweit mit Beh\u00f6rden in weiteren 35 L\u00e4ndern koordiniert. Dies soll die Kriminellen hinter Necurs daran hindern, neue Dom\u00e4nen zu registrieren, um in Zukunft Angriffe \u00fcber das Botnet auszuf\u00fchren. M\u00f6glich wurde dies durch die Analyse des Algorithmus, der von Necurs zur systematischen Generierung neuer Domain-Namen verwendet wird. <\/p>\n<p>Die Sicherheitsforscher waren dann in der Lage, mehr als sechs Millionen einzigartige Dom\u00e4nennamen vorherzusagen, die in den n\u00e4chsten 25 Monaten geschaffen werden sollten. Microsoft meldete diese Dom\u00e4nen an ihre jeweiligen Registrierungsstellen in L\u00e4ndern auf der ganzen Welt, so dass diese Domain-Namen f\u00fcr eine Registrierung blockiert werden. Die Cyber-Kriminellen werden somit daran gehindert, diese Domains als neuen Teil der Necurs-Infrastruktur zu nutzen. <\/p>\n<p>Durch \u00dcbernahme der Kontrolle \u00fcber bestehende Websites des Necurs Botnetes und die M\u00f6glichkeit zur Registrierungssperre neuer Websites, geht Microsoft davon aus, dass der Betrieb des Botnetzes erheblich gest\u00f6rt werden konnte.<\/p>\n<h2>S\u00e4ubern infizierter Rechner<\/h2>\n<p>Microsoft arbeitet mit Internet Service Providern (ISPs) und anderen Partnern auf der ganzen Welt zusammen, um die Computer ihrer Kunden von der mit dem Necurs-Botnet ausgelieferten Malware zu befreien. Die Ma\u00dfnahmen sind von globalem Ausma\u00df und umfassen die Zusammenarbeit mit Partnern in der Industrie, der Regierung und den Strafverfolgungsbeh\u00f6rden \u00fcber das Microsoft Cyber Threat Intelligence Program (CTIP). <\/p>\n<p>\u00dcber das CTIP bietet Microsoft den Strafverfolgungsbeh\u00f6rden, staatlichen Computer-Notfallteams (CERTs), Internetanbietern und Regierungsbeh\u00f6rden, die f\u00fcr die Durchsetzung von Cybergesetzen und den Schutz kritischer Infrastrukturen zust\u00e4ndig sind, einen besseren Einblick in die kriminelle Cyberinfrastruktur in ihrem Zust\u00e4ndigkeitsbereich sowie einen \u00dcberblick \u00fcber gef\u00e4hrdete Computer und Opfer, die von dieser kriminellen Infrastruktur betroffen sind.<\/p>\n<p>F\u00fcr diese Aktion arbeitet Microsoft mit ISPs, Domain-Registrierungsstellen, staatlichen CERTs und Strafverfolgungsbeh\u00f6rden u.a. in Mexiko, Kolumbien, Taiwan, Indien, Japan, Frankreich, Spanien, Polen und Rum\u00e4nien zusammen. <\/p>\n<p><strong>\u00c4hnliche Artikel:<\/strong><br \/><a href=\"https:\/\/borncity.com\/blog\/2018\/05\/28\/necurs-verteilt-flawed-ammyy-rat-per-excel-iqy-dateien\/\">Necurs verteilt Flawed Ammyy RAT per Excel IQY-Dateien<\/a><br \/><a href=\"https:\/\/borncity.com\/blog\/2017\/10\/15\/locky-ransomware-im-september-2017-wieder-an-der-spitze\/\">Locky-Ransomware im September 2017 wieder an der Spitze<\/a><br \/><a href=\"https:\/\/borncity.com\/blog\/2017\/08\/18\/spam-welle-verbreitet-neue-locky-ransomware-version\/\">Spam-Welle verbreitet neue Locky-Ransomware-Version<\/a><br \/><a href=\"https:\/\/borncity.com\/blog\/2017\/05\/21\/malwarebytes-analyse-wie-sich-wannycryp-verbreitete\/\">Malwarebytes-Analyse: Wie sich WannaCry verbreitete<\/a><br \/><a href=\"https:\/\/borncity.com\/blog\/2019\/12\/15\/sentinellabs-identifiziert-kooperation-von-botnet-gruppen\/\">SentinelLabs identifiziert Kooperation von Botnet-Gruppen<\/a><br \/><a href=\"https:\/\/borncity.com\/blog\/2019\/06\/08\/goldbrute-botnet-angriff-auf-rdp-server\/\">GoldBrute: Botnet-Angriff auf RDP-Server<\/a><br \/><a href=\"https:\/\/borncity.com\/blog\/2018\/12\/09\/botnetz-von-20-000-infizierten-wordpress-sites\/\">Botnetz von 20.000 infizierten WordPress-Sites<\/a><br \/><a href=\"https:\/\/borncity.com\/blog\/2018\/11\/17\/botnet-bedroht-116-router-modelle-ber-upnp-lcke\/\">Botnet bedroht 116 Router-Modelle \u00fcber UPnP-L\u00fccke<\/a><\/p>\n","protected":false},"excerpt":{"rendered":"<p>[English]Microsoft ist es gelungen, die in den USA angesiedelten Teile der Infrastruktur des Necurs-Botnetzes zu \u00fcbernehmen. Das hat das Unternehmen gerade mitgeteilt.<\/p>\n","protected":false},"author":2,"featured_media":0,"comment_status":"open","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[426],"tags":[4328,425],"class_list":["post-229312","post","type-post","status-publish","format-standard","hentry","category-sicherheit","tag-sicherheit","tag-spam"],"_links":{"self":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts\/229312","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/users\/2"}],"replies":[{"embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/comments?post=229312"}],"version-history":[{"count":0,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts\/229312\/revisions"}],"wp:attachment":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/media?parent=229312"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/categories?post=229312"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/tags?post=229312"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}