Cuộc triệt phá mạng lưới botnet này là kết quả của hoạt động phối hợp liên quan đến cảnh sát quốc tế và các công ty công nghệ tư nhân trên 35 quốc gia.
Việc truy quét diễn ra thành công sau khi các nhà nghiên cứu phá vỡ thuật toán đăng ký tên miền (Domain Generation algorithm – DGA) được thực hiện bởi Necurs. Đây là một thuật toán giúp Necurs duy trì khả năng phục hồi trong một thời gian dài.
DGA là một kỹ thuật để tạo ra các tên miền mới ngẫu nhiên theo một chu kỳ nhất định, giúp tin tặc liên tục chuyển đổi vị trí của các máy chủ C&C và duy trì liên lạc không bị gián đoạn với các máy tính bị nhiễm.
Microsoft chia sẻ, sau khi phá vỡ được thuật toán DGA, hãng đã có thể dự đoán chính xác hơn 6 triệu tên miền sẽ được tạo trong 25 tháng tới. Thông tin về các tên miền dự đoán sẽ được báo cáo cho các cơ quan quản lý tại các quốc gia. Điều này giúp ngăn chặn các trang web độc hại không trở thành một phần cơ sở hạ tầng của Necurs.
Cùng với sự trợ giúp từ tòa án, Microsoft cũng đã giành được quyền kiểm soát cơ sở hạ tầng tại Hoa Kỳ mà Necurs sử dụng để phân phối phần mềm độc hại và lây nhiễm máy tính của nạn nhân.
Được phát hiện lần đầu tiên vào năm 2012, Necurs là một trong những botnet gửi thư rác phổ biến nhất thế giới. Nó lây nhiễm vào hạ tầng mạng công nghệ thông tin bằng nhiều cách thức, như: mã độc ngân hàng, mã độc đào tiền ảo, mã độc tống tiền… Sau khi lây nhiễm, mã độc sẽ gửi một lượng lớn thư rác cho nạn nhân mới.
Bản đồ các quốc gia bị ảnh hưởng bởi botnet Necurs
Để tránh bị phát hiện và duy trì hoạt động trên máy tính mục tiêu, Necurs sử dụng rootkit ở chế độ cấp hệ thống nhằm vô hiệu hóa các ứng dụng bảo mật như Windows Firewall.
Năm 2017 là thời gian hoạt động bùng nổ của Necurs, khi bắt đầu lây nhiễm mã độc ngân hàng Dridex và mã độc tống tiền Locky với tốc độ 5 triệu email mỗi giờ cho các máy tính trên toàn cầu.
Trong suốt 58 ngày điều tra, Microsoft đã quan sát một máy tính bị nhiễm Necurs đã gửi tổng cộng 3,8 triệu thư rác đến hơn 40,6 triệu máy khác. Trong một số trường hợp, tin tặc thực hiện tống tiền bằng các chứng cứ về việc ngoại tình và đe dọa sẽ gửi bằng chứng cho vợ hoặc chồng, gia đình, bạn bè và đồng nghiệp của nạn nhân.
Theo số liệu thống kê mới nhất được công bố bởi các nhà nghiên cứu, Ấn Độ, Indonesia, Thổ Nhĩ Kỳ, Việt Nam, Mexico, Thái Lan, Iran, Philippines và Brazil là những quốc gia bị mã độc Necurs tấn công nhiều nhất.
Trí Công
The hacker news
11:00 | 12/04/2020
14:00 | 07/11/2019
15:00 | 18/02/2020
09:00 | 26/01/2021
10:00 | 28/09/2022
10:00 | 24/04/2024
Một nhóm tin tặc được cho là từ Việt Nam đang nhắm mục tiêu vào các tổ chức tài chính ở châu Á để đánh cắp các dữ liệu tài chính.
13:00 | 17/01/2024
Các nhà cung cấp dịch vụ viễn thông, truyền thông, Internet, các nhà cung cấp dịch vụ công nghệ thông tin (CNTT) và các trang web của người Kurd ở Hà Lan đã trở thành mục tiêu của một chiến dịch gián điệp mạng mới được thực hiện bởi một nhóm tin tặc Türkiye-nexus có tên là (Rùa biển).
16:00 | 18/12/2023
Các nhà nghiên cứu từ công ty bảo mật chuỗi cung ứng Binarly cho biết lỗ hổng firmware có tên gọi là LogoFAIL có thể ảnh hưởng đến 95% máy tính, cho phép tin tặc vượt qua cơ chế bảo vệ Secure Boot và thực thi phần mềm độc hại trong quá trình khởi động. Các lỗ hổng xuất phát từ trình phân tích cú pháp hình ảnh được sử dụng trong firmware hệ thống UEFI để tải hình ảnh logo trên màn hình khởi động.
16:00 | 01/12/2023
Các nhà nghiên cứu an ninh mạng của hãng bảo mật Check Point cho biết đã phát một số biến thể mới của phần mềm độc hại SysJoker, trong đó bao gồm một biến thể được mã hóa bằng Rust, được các tin tặc ủng hộ Hamas sử dụng trong các cuộc tấn công mạng nhắm đến Israel, trong bối cảnh leo thang cuộc xung đột vũ trang giữa Israel và Hamas đang diễn ra. Trong bài viết này sẽ tập trung phân tích phiên bản Rust của SysJoker dựa trên báo cáo nghiên cứu mới đây của Check Point.
Các nhà nghiên cứu tại tổ chức bảo mật phi lợi nhuận Shadowserver Foundation (California) cho biết hàng nghìn thiết bị Ivanti VPN kết nối với Internet có khả năng bị ảnh hưởng bởi một lỗ hổng thực thi mã từ xa.
08:00 | 17/04/2024