Eine erfreuliche Erfolgsmeldung im Kampf gegen die internationale Domainkriminalität: das größte Botnet weltweit, Necurs, wurde offline gestellt.
Seit 2012 ist das Malware Modul Necurs aktiv. Es installiert sich auf den PC der Nutzer und versendet unbemerkt gewaltige mengen an Spam Mails.Nach Untersuchungen von Microsoft wurden von nur einem infizierten PC in den vergangenen acht Jahren über 3,8 Millionen E-Mails an rund 40 Millionen Empfänger versendet. Alle infizierten Computer wurden in einem Botnet zusammengefasst., dass nach der Malware Necurs genannt wurde. Das Botnet umfasst mehr als neun Millionen infizierte Computer und ist damit die weltweit größte „Spamschleuder“, die von Cyberkriminellen Gruppen zur Verbreitung von Malware, Spam Mails und Trojanern, wie „Gameover Zeus“ genutzt wurde.
Acht Jahre Recherche: Schwächen erkennen und nutzen
Um das Botnet auszuschalten, hat sich Microsoft mit Spezialisten und IT-Unternehmen aus 35 Ländern zusammengeschlossen und sich viel Zeit bei den Recherchen genommen. In den vergangenen acht Jahren entschlüsselten sie den Domain Generating Algorithmus (DGA) von Necurs. Die DGA generierten Domains werden von den Cyberkriminellen bereits Monate oder Wochen vor den Aktionen registriert. Sie hosten die Command-and-Control (C&C)-Server des Botnets und sind somit die Verbindungsplattformen der Bots.
Nach internen Auswertungen konnten die Wege nachverfolgt werden. Durch das erworbene Wissen um die DGA-Strategie hinderten die Experten die Hintermänner von Necurs an einen Neuregistrierung von Domains. Die juristische Abteilung von Microsoft arbeitete indessen an der rechtlichen Umsetzung des Plans und konnte am 5.3.20 einen Gerichtsbeschluss erwirken, der dem Internetriesen die Kontrolle über alle – in den USA gehosteten – Necurs-Domains übergab.
Microsoft erhält Kontrolle über Necurs-Domains
Tom Burt, Corporate Vice President, Customer Security & Trust bei Microsoft sagte dazu: “Indem wir die Kontrolle über bestehende Websites übernommen und die Möglichkeit zur Registrierung neuer Websites verhindert haben, haben wir das Botnetz erheblich gestört.“
Gemeinsam mit mehreren Partnern übernahm Microsoft die Kontrolle über das Necurs Netzwerk und schaltete das Botnet ab. Zusätzlich wurden wertvolle Informationen über Botnets und deren Strukturen gesammelt. Jetzt wurden die Nutzer infizierter Computer informiert und erhielten Instruktionen, wie die Malware entfernt werden kann.