Microsoft anunció esta semana el éxito de sus esfuerzos conjuntos con socios en 35 países para interrumpir el grupo de botnets Necurs, al que se culpa de infectar a más de 9 millones de computadoras en todo el mundo.
Según el investigador de seguridad Valter Santos, Necurs opera 11 botnets, todas aparentemente controladas por un grupo. poco horizonte, que se eliminó en asociación con Microsoft. Cuatro de estos botnets representaron alrededor del 95 por ciento de todas las infecciones.
«Necurs es la vulnerabilidad nombrada más utilizada», dijo el analista principal Rob Enderle. Grupo Endler.
El Tribunal de Distrito de EE. UU. para el Distrito Este de Nueva York emitió la semana pasada Ordenar Permite a Microsoft controlar la infraestructura estadounidense que utiliza Necurs para distribuir malware e infectar las computadoras de las víctimas.
Microsoft descubrió que Necurs generaría algorítmicamente nuevos dominios y los informaría a los respectivos registros en todo el mundo para bloquearlos.
Microsoft también se asocia con ISP, registros de dominio, CERT gubernamentales y cumplimiento de la ley Ayuda a eliminar el malware relacionado con Necurs de las computadoras de los usuarios en varios países.
La actividad de botnet cesó este mes, pero unos 2 millones de sistemas infectados permanecen inactivos, esperando la reactivación de Necurs.
Estos sistemas «deben identificarse y reconstruirse» para evitar que sean vulnerables a Necurs u otras botnets, dijo Enderle a TechNewsWorld.
“Si no se detectan a tiempo, pueden causar mucho daño”, dijo.
“Microsoft es una de las pocas empresas que rastrea a los malos actores, no solo los problemas de seguridad”, señaló Enderle. «Hasta que el mundo se vuelva agresivo para llevar a los malos ante la justicia, continuaremos enfrentando el riesgo de un evento informático global catastrófico. Este problema debe abordarse en la fuente».
Tabla de Contenidos
Brazo largo de Necurs
Necurs es una de las redes más grandes en el ecosistema de amenazas de spam.
En la investigación dirigida por Microsoft, una computadora infectada con Necurs envió un total de 3,8 millones de correos electrónicos no deseados a más de 40,6 millones de víctimas potenciales durante un período de 58 días, dijo Tom Burt, vicepresidente corporativo de Microsoft.
Necurs se descubrió por primera vez en 2012. Se lo conoce principalmente como cuentagotas para otro malware, incluidos GameOver Zeus, Dridex, Locky y Trickbot, según Santos de Bitsight.
Su uso principal es como un bot de spam, un mecanismo de entrega utilizado en estafas de volcado de acciones, spam farmacéutico falso y estafas de citas rusas. También se ha utilizado para atacar otras computadoras en Internet, robar credenciales para cuentas en línea y robar datos personales y confidenciales de las personas.
La botnet es conocida por distribuir malware y ransomware con fines financieros, así como por la minería de criptomonedas. Tiene capacidades DDoS (distributed denial of service), aunque aún no está activado.
Según Santos de BitSight, de 2016 a 2019, Necurs fue responsable del 90 % de todo el malware que se propagó a nivel mundial a través del correo electrónico.
«Necurs es esencialmente un sistema operativo que entrega cosas malas a una máquina infectada», dijo el director de investigación Mike Jude. Centro Internacional de Datos.
«Por sí mismo, no es realmente una amenaza», dijo a TechNewsWorld. «Es más como una pieza de código desagradable que funciona en el nivel raíz. Pero lo que puede pasar o activar puede ser devastador».
Los operadores de Necurs también ofrecen servicios de alquiler de botnets que venden o alquilan acceso a equipos informáticos infectados a otros ciberdelincuentes.
Se cree que Necurs es obra de criminales rusos.
Cómo funciona Necurs®
BitSight descubrió que los desarrolladores de Necurs implementaron un enfoque en capas para el sistema infectado, comunicándose con sus servidores de comando y control a través de una combinación de canales de comunicación centralizados y de igual a igual.
Necurs se comunica con sus operadores principalmente a través de listas de IP integradas y, ocasionalmente, a través de dominios estáticos integrados en muestras de malware. También puede utilizar algoritmos de generación de dominios.
Un DGA virtual genera un dominio que se utiliza para ver si se está ejecutando malware en un entorno simulado. El segundo DGA obtiene el campo .bit codificado de forma rígida.
El dominio de nivel superior .bit es otro modelo de DNS, mantenido por Namecoin, que utiliza infraestructura de cadena de bloques, en comparación con Corporación de Internet para Nombres y Números Asignados- Dominios de nivel superior regulados, dijo Santos.
Si ningún otro método puede obtener un servidor C&C activo, se iniciará el DGA principal. Genera 2048 posibles dominios C2 en 43 TLD cada cuatro días, incluido .bit, en función de la fecha actual y una semilla binaria codificada. Pruebe todos los dominios hasta que uno se resuelva y responda con el protocolo correcto.
Si ninguno de los métodos anteriores falla, el dominio de C&C se recupera de la red P2P siempre activa como el canal principal para actualizar el servidor de C&C. La lista inicial de aproximadamente 2000 pares está codificada en binario, pero se puede actualizar según sea necesario. Los nodos pares de la lista se denominan «supernodos»: sistemas víctimas con un estado elevado en la infraestructura.
Además, el malware utiliza un algoritmo que traduce las direcciones IP recibidas a través de DNS en las direcciones IP reales de sus servidores.
La infraestructura de C&C está en capas, con múltiples capas de agentes de C&C, lo que dificulta el descubrimiento.
El primer nivel de servidores C&C consiste en servidores privados virtuales baratos en países como Rusia y Ucrania. Revierten todas las comunicaciones a servidores C&C de segundo nivel, que generalmente están alojados en Europa y, a veces, en Rusia. La comunicación continúa en la cadena hasta que finalmente llega al backend.
Durante los días normales de Necurs, BitSight detectó menos de 50 000 sistemas infectados por día cuando C&C estaba activo, y entre 100 000 y 300 000 sistemas infectados cuando C&C estaba inactivo.
«Observaciones únicas a diario aún subestiman el verdadero tamaño de la botnet», dijo Santos.
Cortando a Necurs
El análisis de DGA de Necurs permite a Microsoft predecir con precisión los más de 6 millones de dominios únicos que los grupos de botnets crearán en los próximos 25 meses. Sus juicios y alianzas con diversas entidades impedirán que Necurs los registre y los utilice.
Jude de IDC observó que Microsoft «hizo un trabajo fantástico al dividir este lanzamiento, pero estas cosas evolucionarán, y si este lanzamiento se neutraliza más o menos, es probable que haya otra iteración».
«El código es fácil de cambiar y no se desarrolla en el vacío», señaló. «Quizás las personas detrás de esto ya estén investigando cómo Microsoft realizó ingeniería inversa de su enfoque y lo incorporó a la próxima versión».