A Microsoft hivatalos blogján jelentette be, hogy partnereivel együtt összesen 35 országban tette meg azokat a koordinált technikai és jogi lépéseket, amelyek a Necurs néven hivatkozott botnet működésének megszakításához voltak szükségesek. A Necurs világszerte több mint 9 millió fertőzött számítógép erőforrásait használta, ezzel az egyik legnagyobb ilyen hálózatnak számított. A Microsoft szerint a 2012-ben felfedezett botnet lelövése nyolcéves munka eredménye, ami most azt is biztosítja, hogy a mögötte álló, feltehetően orosz bűnözők a későbbiekben már nem lesznek képesek felhasználni az infrastruktúra legfontosabb elemeit további kibertámadások végrehajtásához.

A Necurs már csak méreteiből adódóan is a legnagyobb spamküldő hálózatok között volt, amely szinte a világ összes országában célba vett felhasználókat. A Microsoft a kártékony levelek mennyiségét azzal érzékelteti, hogy egy 58 napos megfigyelési periódusban a fertőzött számítógépek 3,8 millió preparált levelet küldtek el összesen 40,6 millió potenciális áldozatnak. Ezek között voltak pum-and-dump csalások, amelyek során értéktelen részvényekről közölnek hamis információkat, hogy azokat drágán eladhassák, mielőtt visszazuhannak az eredeti árszintre, de volt köztük minden más is az állítólagos társkereső orosz nők leveleitől a hamis gyógyszerekig.

A hálózatot emellett persze az internetre kapcsolódó számítógépek elleni támadásokra, online fiókok belépési kódjainak begyűjtésére, személyes információk és bizalmas adatok megszerzését célzó kampányokra is használták. A dolog annyira jól ment, hogy a botnet üzemeltetői bérbe is adták a Necurs kapacitásait más bűnözöknek, tulajdonképpen a publikus felhőszolgáltatásokból ismert modellt alkalmazva. A fertőzőtt gépek így pénzszerzésre irányuló zsarolóprogramokat és más, például kriptovaluta-bányász malware-eket is terjesztettek, és a Microsoft szerint alkalmasak voltak DDoS támadások végrehajtására is, bár ilyen aktivitást végül nem fejtettek ki.

Globális együttműködés a MS vezetésével

A mostani szervezett fellépésre végül azután kerülhetett sor, hogy március 5-én egy amerikai bíróság engedélyezte a Microsoftnak az ellenőrzés átvételét a Necurs által használt ottani infrastruktúra fölött. A vállalat vezetésével végrehajtott intézkedésekben piaci cégek és állami szervezetek is részt vettek világszerte, egyebek mellett azt is megakadályozva, hogy a botnet mögött álló bűnözők újabb domainregisztrációkkal biztosítsák a jövőbeni támadások lehetőségét. Az elemzések során ugyanis meghatározták azt az algoritmizált technikát is, amelynek révén a Necurs szisztematikusan generálta az újabb tartományneveket – ezekből az elmúlt két évben több mint 6 milliót hozott létre.

A Microsoft ezeket minden országban lejelentette az illetékes nyilvántartóknak, akik így blokkolni tudták az érintett oldalakat. A működö lapok ellenőrzése és az újabb website-ok létrehozatalának megbénítása a vállalat szerint érdemben megszakította a botnet működését, emellett az internetszolgáltatókkal való együttműködések arra is lehetőséget teremtenek a globális programban, hogy a fertőzött gépekről letakarítsák a hálózattal összefüggő malware-eket. A blogbejegyzés kiemeli, hogy a Microsoft Cyber Threat Intelligence Programon (CTIP) keresztül a társaság fontos információkat biztosít a kiberbűnözők infrastruktúrájának működéséről és a fertőzőtt gépekről a hatóságoknak, a kormányzati kibervédelmi szervezeteknek és a távközlési szolgáltatóknak is.