Como a Microsoft desmontou o infame Necurs Botnet

No auge de seus poderes, Necurs foi uma das forças mais perturbadoras da internet. Uma espécie de botnet do Exército Suíço, ao longo dos anos, tem aproveitado mais de 9 milhões de computadores sob controle para enviar spam, distribuir ransomware, atacar instituições financeiras e muito mais. Na semana passada, a Microsoft desligou.

Necurs ficou em silêncio ultimamente – sua atividade significativa mais recente acabou em março passado – mas ainda tem 2 milhões de sistemas infectados aguardando seu próximo comando. Ao interromper o que resta da rede de bots – em coordenação com a aplicação da lei e provedores de serviços de Internet em 35 países, e com a ajuda de empresas de segurança cibernética como BitSight e ShadowServer – a Microsoft efetivamente impediu que Necurs aumentasse novamente.

“Essa interrupção é o resultado de oito anos de rastreamento e planejamento”, escreveu o vice-presidente corporativo da Microsoft, Tom Burt, em um blog anunciando a remoção, “e ajudará a garantir que os criminosos por trás dessa rede não possam mais usar elementos-chave de sua infraestrutura . ” A Microsoft se recusou a comentar mais, mas a empresa assumiu a liderança em quedas semelhantes no passado, dada a extensão em que operações como a Necurs ameaçam os dispositivos Windows e seus usuários.

Embora as botnets sejam frequentemente associadas a ataques distribuídos de negação de serviço, a Necurs possui um portfólio mais diversificado. “A razão pela qual a botnet Necurs é tão perniciosa é porque os invasores conseguiram infectar tantos dispositivos e aproveitar essa maciça botnet para vários fins, com base no fato de distribuir muitos outros tipos de malware”, diz Yael Daihes, pesquisador sênior de segurança da rede de entrega de conteúdo Akamai. A principal delas é spam; em uma queixa criminal apresentada em 5 de março, a Microsoft observou que “um único computador Necurs infectado é capaz de enviar um total de 3,8 milhões de e-mails de spam a mais de 40,6 milhões de potenciais vítimas em um período de 58 dias”.

O Necurs é basicamente um botnet de aluguel, disponível para distribuir qualquer malware que um cliente possa desejar. Isso inclui o infame trojan GameOver Zeus que assolava a Internet há quase uma década, bem como o malware Dridex implantado pela Evil Corp e outros. A queixa criminal detalha o uso de Necurs para distribuir malware notório como Locky e Trickbot, também, como um contrabandista da Legião da Perdição. As possibilidades são infinitas, de ransomware a roubo de informações bancárias e vigilância.

Necurs também pode bloquear atualizações de antivírus em máquinas mais antigas, levando a uma série de problemas comuns. “Para dispositivos que usam um Windows 7 desatualizado sem proteções antivírus atualizadas, a Necurs não apenas prejudica o mecanismo de segurança que pode resultar na remoção de Necurs do dispositivo de computação, mas também pode deixar os dispositivos de computação da vítima expostos a muitos outros tipos de malware”, diz a queixa .

“Necurs, antes das ações da Microsoft, continuava sendo uma ameaça significativa, embora pareça ter diminuído de relevância desde 2016”, diz Evelyn French, analista sênior da Flashpoint, empresa de segurança que rastreia a botnet.

O Necurs foi descoberto on-line pela primeira vez há oito anos e vinculado nos anos seguintes às várias famílias de malware que o usavam para distribuição. Mas o trabalho de remoção não começou a valer até 2016, quando o BitSight iniciou um esforço de anos para desembaraçar a botnet, fazendo engenharia reversa de sua estrutura para que a Microsoft e outras pessoas pudessem realmente interrompê-lo. Você não pode lutar contra o que não pode ver.

Foi um trabalho árduo. Necurs não é uma única rede de bots, mas uma família de pelo menos 11, todos presumivelmente sob o controle dos mesmos criminosos russos não identificados. Quatro dessas botnets, segundo a BitSight, foram responsáveis ​​por 95% de todas as infecções. Além disso, Necurs usa uma estrutura de comando e controle particularmente sofisticada para retransmitir informações de e para os computadores que controla.