Le botnet Necurs est sous le contrôle de Microsoft

Un tribunal de l’État de New York a accordé à Microsoft le contrôle de l’infrastructure utilisée par le célèbre botnet Necurs dans le but de stopper l’infrastructure de distribution de spams et de logiciels malveillants la plus prolifique et la plus étendue au monde.

Cette décision est intervenue après que Microsoft et ses partenaires se trouvant dans 35 pays aient craqué l’algorithme de génération de domaine de Necurs, qui génère des noms de domaine aléatoires pour permettre au botnet de distribuer des logiciels malveillants et d’infecter les ordinateurs à travers le monde. Les détails de l’effort coordonné ont été dévoilés par Microsoft dans un article publié la semaine dernière.

«Nous avons ensuite pu prédire avec précision plus de six millions de domaines uniques qui seraient créés au cours des 25 prochains mois», a écrit Tom Burt, vice-président de la sécurité et confiance des clients chez Microsoft, dans le communiqué. «Microsoft a signalé ces domaines à leurs registres respectifs dans les pays du monde entier afin que les sites Web puissent être bloqués et ainsi stopper les actions de l’infrastructure Necurs.»

necurs

En prenant le contrôle des sites Web existants et en empêchant d’en enregistrer de nouveaux, Microsoft et ses partenaires ont réussi à perturber “de manière significative” le botnet, a-t-il déclaré.

La décision du tribunal du district Est de New York permettra désormais aux cybercriminels derrière ce réseau de ne plus pouvoir utiliser les éléments clés de leur infrastructure pour exécuter des cyberattaques, a ajouté Burt.

Necurs est ce que les chercheurs en sécurité ont appelé le «multitool» des botnets en raison de sa capacité à effectuer plusieurs opérations cybercriminelles. Il peut fonctionner comme un botnet de spam pour fournir des chevaux de Troie bancaires et des ransomwares mais aussi développer un service proxy ou faire du cryptomining et lancer des attaques DDoS (déni de service distribué).

Necurs est peut-être mieux connu pour être utilisé comme dropper par d’autres logiciels malveillants, y compris GameOver Zeus, Dridex, Locky, Trickbot et d’autres, selon l’analyse du botnet publiée par ValterSantos, chercheur en sécurité de BitSight. BitSight est l’une des sociétés partenaires qui a travaillé aux côtés de Microsoft pour aider à arrêter Necurs.

«Ses principales utilisations ont été comme spambot, mécanisme de livraison de ransomwares, de logiciels malveillants financiers etc..», a écrit Santos. Selon Microsoft, il a également été lié à de faux courriers électroniques indésirables et à des arnaques de «rencontres russes».

Le botnet a été utilisé dans le cadre d’un service de location de botnet dans lequel les cybercriminels de Necurs vendaient ou louaient l’accès aux appareils informatiques infectés à d’autres cybercriminels, ont déclaré des chercheurs.

necurs

L’une des caractéristiques de Necurs qui l’a rendu très efficace était sa “capacité de rootkit en mode noyau”, qu’il utilisait pour désactiver un grand nombre d’applications de sécurité, y compris le pare-feu Windows, à la fois pour se protéger et protéger d’autres logiciels malveillants sur un système infecté, a écrit Santos.

Le botnet est également modulaire, ce qui a permis aux opérateurs de changer son fonctionnement au fil du temps, rendant la tâche des administrateurs et des chercheurs plus difficile, a-t-il déclaré.

Necurs, l’un des plus gros botnets

Bien que Necurs semble avoir perdu une partie de son élan un peu plus tôt cette année, il reste l’un des plus grands réseaux de spam, avec environ 9 millions de victimes dans presque tous les pays du monde, a déclaré Burt.

Lors de son apogée entre 2016 et 2019, Necurs «était la solution la plus importante pour diffuser du spam et des logiciels malveillants et était responsable de 90% des logiciels malveillants diffusés par courrier électronique dans le monde entier», a déclaré Santos.

Même lors de l’enquête de Microsoft et de ses partenaires, Necurs a démontré une activité néfaste considérable, a déclaré Burt. Sur une période de 58 jours, les chercheurs ont observé qu’un ordinateur infecté par Necurs envoyait 3,8 millions de spams à plus de 40,6 millions de victimes potentielles, a-t-il déclaré.

Si cet article vous a plu, jetez un œil à notre article précédent.

S’abonner
Notifier de
guest
0 Commentaires
Inline Feedbacks
View all comments
0
Would love your thoughts, please comment.x
()
x