Después de ocho años de seguimiento y planificación, Microsoft y sus socios en 35 países han tomado medidas legales y técnicas coordinadas para interrumpir una de las botnets más prolíficas del mundo, llamada Necurs, que ha infectado a más de nueve millones de computadoras en todo el mundo. Se cree que Necurs es operado por delincuentes con sede en Rusia, dijo Microsoft el martes.
Esta interrupción ayudará a garantizar que los delincuentes detrás de esta red ya no puedan usar elementos clave de su infraestructura para ejecutar ciberataques.
Una botnet es una red de computadoras que un cibercriminal ha infectado con software malicioso o malware.
Una vez infectados, los delincuentes pueden controlar esas computadoras de forma remota y usarlas para cometer delitos.
La Unidad de Delitos Digitales de Microsoft, BitSight y otros miembros de la comunidad de seguridad observaron por primera vez la red de bots Necurs en 2012 y vieron cómo distribuía varias formas de malware, incluido el troyano bancario GameOver Zeus.
La botnet Necurs es una de las redes más grandes en el ecosistema de amenazas de correo electrónico no deseado, con víctimas en casi todos los países del mundo.
"Durante un período de 58 días en nuestra investigación, por ejemplo, observamos que una computadora infectada con Necurs envió un total de 3.8 millones de correos electrónicos no deseados a más de 40.6 millones de víctimas potenciales", Tom Burt, Vicepresidente Corporativo de Seguridad y Confianza del Cliente de Microsoft escribió en una entrada de blog
Necurs también se ha utilizado para una amplia gama de delitos, incluidas estafas de bombeo y volcado de existencias, correo electrónico falso de spam farmacéutico y estafas de "citas rusas".
También se ha utilizado para atacar otras computadoras en Internet, robar credenciales para cuentas en línea y robar información personal y datos confidenciales de las personas.
Curiosamente, parece que los delincuentes detrás de Necurs venden o alquilan el acceso a los dispositivos informáticos infectados a otros ciberdelincuentes como parte de un servicio de botnet de alquiler.
Necurs también es conocido por distribuir malware y ransomware con objetivos financieros, cryptomining e incluso tiene una capacidad DDoS (denegación de servicio distribuida) que aún no se ha activado, pero podría estarlo en cualquier momento.
El 5 de marzo, el Tribunal de Distrito de EE. UU. Para el Distrito Este de Nueva York emitió una orden que permite a Microsoft tomar el control de la infraestructura con sede en EE. UU. Que Necurs utiliza para distribuir malware e infectar las computadoras de las víctimas.
"Con esta acción legal y a través de un esfuerzo de colaboración que involucra asociaciones público-privadas en todo el mundo, Microsoft lidera actividades que evitarán que los delincuentes detrás de Necurs registren nuevos dominios para ejecutar ataques en el futuro", dijo Burt.
Esto se logró mediante el análisis de una técnica utilizada por Necurs para generar sistemáticamente nuevos dominios a través de un algoritmo.
"Entonces pudimos predecir con precisión más de seis millones de dominios únicos que se crearían en los próximos 25 meses", dijo Burt.
Microsoft informó estos dominios a sus respectivos registros en países de todo el mundo para que los sitios web puedan bloquearse y evitar que se conviertan en parte de la infraestructura de Necurs.