Microsoft wspólnie z partnerami z 35 krajów podjął skoordynowane kroki prawne i techniczne, aby zakończyć działanie jednego z najbardziej aktywnych botnetów na świecie, zwanego Necurs. Do tej pory zainfekował on ponad dziewięć milionów komputerów na całym świecie. Operacja jest wynikiem ośmioletniego procesu monitorowania i planowania. Dzięki niej cyberprzestępcy nie będą w stanie wykorzystywać kluczowych elementów infrastruktury Necrus do przeprowadzania
kolejnych ataków cybernetycznych.
Botnet to sieć komputerów, które cyberprzestępcy zainfekowali złośliwym oprogramowaniem, dzięki czemu mogą je zdalnie kontrolować i wykorzystywać do innych nadużyć. Jednostka ds. walki z cyfrowymi przestępstwami Microsoft (ang. Digital Crimes Unit), BitSight oraz inni eksperci z branży bezpieczeństwa po raz pierwszy zaobserwowali botnet Necurs w 2012 r. i obserwowali, w jaki sposób rozpowszechnia się on w kilku formach złośliwego oprogramowania, w tym jako banking trojan GameOver Zeus.
Botnet Necurs jest jedną z największych sieci w ekosystemie zagrożeń związanych ze spamem, która jest aktywna niemal we wszystkich krajach na świecie. Dla przykładu, w czasie 58 dni dochodzenia, eksperci zaobserwowali, że jeden z komputerów zainfekowanych przez Necurs wysłał w sumie 3,8 mln wiadomości e-mail do ponad 40,6 mln potencjalnych ofiar. Istnieje podejrzenie, że Necurs jest obsługiwany przez cyberprzestępców, którzy mają siedzibę w Rosji i jest wykorzystywany do rozprzestrzeniania fałszywych informacji dotyczących wartości akcji spółek giełdowych, oszustw związanych z rosyjskimi serwisami randkowymi, spamem, atakowaniem innych komputerów przez Internet, a także do kradzieży danych uwierzytelniających do kont online, danych osobowych i informacji poufnych, sprzedaży lub wypożyczania zainfekowanych urządzeń innym cyberprzestępcom i innych nielegalnych działań. Necurs jest również znany z dystrybucji złośliwego oprogramowania do uzyskiwania korzyści finansowych, kopania kryptowalut oraz przeprowadzenia ataków typu DDoS (distributed denial of service).
W czwartek, 5 marca, Sąd Okręgowy USA dla Wschodniego Dystryktu Nowego Jorku wydał nakaz umożliwiający Microsoft przejęcie kontroli nad amerykańską infrastrukturą, której Necurs używa do dystrybucji złośliwego oprogramowania i infekowania komputerów. Dzięki tym działaniom prawnym i wspólnym wysiłkom obejmującym partnerstwa publiczno-prywatne na całym świecie, Microsoft prowadzi działania, które uniemożliwią przestępcom stojącym za botnetem Necurs rejestrowanie nowych domen, aby nie mogły one być wykorzystywane do przeprowadzania ataków w przyszłości.
Zostało to osiągnięte dzięki analizie techniki stosowanej przez Necurs do systematycznego generowania nowych domen za pomocą algorytmu. Następnie ekspertom udało się dokładnie przewidzieć ponad sześć milionów unikalnych domen, które miały być utworzone w ciągu najbliższych 25 miesięcy. Microsoft zgłosił te domeny do odpowiednich rejestrów w krajach na całym świecie, dzięki czemu strony internetowe mogą zostać zablokowane, aby nie stały się częścią infrastruktury Necurs. Przejmując kontrolę nad istniejącymi portalami i blokując możliwość rejestracji nowych, udało się znacznie zakłócić działanie botnetu.
Microsoft podjął również dodatkowe kroki w kierunku partnerstwa m.in. z dostawcami usług internetowych (ISP) na całym świecie, aby pozbyć się złośliwego oprogramowania związanego z botnetem Necurs z komputerów swoich klientów. Działania naprawcze mają skalę globalną i obejmują współpracę z partnerami z branży, rządem i organami ścigania za pośrednictwem programu Microsoft Cyber Threat Intelligence Program (CTIP). Dzięki niemu Microsoft zapewnia organom ścigania, rządowym zespołom reagowania na incydenty komputerowe (CERT), dostawcom usług internetowych i agencjom rządowym odpowiedzialnym za egzekwowanie przepisów prawa dotyczących cyberprzestępczości i ochronę infrastruktury krytycznej lepszy wgląd w przestępczą infrastrukturę cybernetyczną znajdującą się pod ich jurysdykcją, a także w zagrożone komputery i poszkodowanych.
Aby rozbroić największą na świecie sieć cyberprzestępców, Microsoft współpracuje między innymi z dostawcami usług internetowych, rejestratorami domen, rządowymi programami CERT i organami ścigania w Meksyku, Kolumbii, Tajwanie, Indiach, Japonii, Francji, Hiszpanii, Polsce i Rumunii.