Microsoft triệt phá thành công mạng lưới botnet Necurs

09:00 | 25/03/2020 | HACKER / MALWARE

Trung tuần tháng 3, Microsoft thông báo, hãng đã phá vỡ thành công mạng lưới botnet của mã độc Necurs. Đây là phần mềm độc hại lây nhiễm hơn 9 triệu máy tính trên toàn cầu.

Cuộc triệt phá mạng lưới botnet này là kết quả của hoạt động phối hợp liên quan đến cảnh sát quốc tế và các công ty công nghệ tư nhân trên 35 quốc gia.

Việc truy quét diễn ra thành công sau khi các nhà nghiên cứu phá vỡ thuật toán đăng ký tên miền (Domain Generation algorithm – DGA) được thực hiện bởi Necurs. Đây là một thuật toán giúp Necurs duy trì khả năng phục hồi trong một thời gian dài.

DGA là một kỹ thuật để tạo ra các tên miền mới ngẫu nhiên theo một chu kỳ nhất định, giúp tin tặc liên tục chuyển đổi vị trí của các máy chủ C&C và duy trì liên lạc không bị gián đoạn với các máy tính bị nhiễm.

Microsoft chia sẻ, sau khi phá vỡ được thuật toán DGA, hãng đã có thể dự đoán chính xác hơn 6 triệu tên miền sẽ được tạo trong 25 tháng tới. Thông tin về các tên miền dự đoán sẽ được báo cáo cho các cơ quan quản lý tại các quốc gia. Điều này giúp ngăn chặn các trang web độc hại không trở thành một phần cơ sở hạ tầng của Necurs.

Cùng với sự trợ giúp từ tòa án, Microsoft cũng đã giành được quyền kiểm soát cơ sở hạ tầng tại Hoa Kỳ mà Necurs sử dụng để phân phối phần mềm độc hại và lây nhiễm máy tính của nạn nhân.

Được phát hiện lần đầu tiên vào năm 2012, Necurs là một trong những botnet gửi thư rác phổ biến nhất thế giới. Nó lây nhiễm vào hạ tầng mạng công nghệ thông tin bằng nhiều cách thức, như: mã độc ngân hàng, mã độc đào tiền ảo, mã độc tống tiền… Sau khi lây nhiễm, mã độc sẽ gửi một lượng lớn thư rác cho nạn nhân mới.

Microsoft triệt phá thành công mạng lưới botnet Necurs

Bản đồ các quốc gia bị ảnh hưởng bởi botnet Necurs

Để tránh bị phát hiện và duy trì hoạt động trên máy tính mục tiêu, Necurs sử dụng rootkit ở chế độ cấp hệ thống nhằm vô hiệu hóa các ứng dụng bảo mật như Windows Firewall.

Năm 2017 là thời gian hoạt động bùng nổ của Necurs, khi bắt đầu lây nhiễm mã độc ngân hàng Dridex và mã độc tống tiền Locky với tốc độ 5 triệu email mỗi giờ cho các máy tính trên toàn cầu.

Trong suốt 58 ngày điều tra, Microsoft đã quan sát một máy tính bị nhiễm Necurs đã gửi tổng cộng 3,8 triệu thư rác đến hơn 40,6 triệu máy khác. Trong một số trường hợp, tin tặc thực hiện tống tiền bằng các chứng cứ về việc ngoại tình và đe dọa sẽ gửi bằng chứng cho vợ hoặc chồng, gia đình, bạn bè và đồng nghiệp của nạn nhân.

Theo số liệu thống kê mới nhất được công bố bởi các nhà nghiên cứu, Ấn Độ, Indonesia, Thổ Nhĩ Kỳ, Việt Nam, Mexico, Thái Lan, Iran, Philippines và Brazil là những quốc gia bị mã độc Necurs tấn công nhiều nhất.

Trí Công

The hacker news

‹ › ×

Tin liên quan

Microsoft cảnh báo về mã độc tống tiền tấn công hệ thống y tế

11:00 | 12/04/2020

Mới đây, Microsoft đã thông báo về nguy cơ mất an toàn thông tin cho hàng chục bệnh viện có cơ sở hạ tầng với thiết bị cổng và VPN dễ bị tổn thương.

Số lượng mã độc trên di động tại Việt Nam thấp thứ 2 khu vực Đông Nam Á

14:00 | 07/11/2019

Theo số liệu từ Kaspersky, tại Việt Nam, 4,97% người dùng Android đã được bảo vệ khỏi mã độc di động trong ba quý đầu năm 2019.

Phát hiện mã độc IoT botnet dựa trên đồ thị PSI với mô hình Skip-gram

15:00 | 18/02/2020

CSKH-01.2018 - (Tóm tắt) - Trong bài báo này, nhóm tác giả đề xuất một phương pháp phát hiện mã độc IoT botnet dựa trên đồ thị PSI (Printable String Information) sử dụng mạng nơ-ron tích chập (Convolutional Neural Network - CNN). Thông qua việc phân tích đặc tính của Botnet trên các thiết bị IoT, phương pháp đề xuất xây dựng đồ thị để thể hiện các mối liên kết giữa các PSI, làm đầu vào cho mô hình mạng nơ-ron CNN phân lớp. Kết quả thực nghiệm trên bộ dữ liệu 10033 tập tin ELF gồm 4002 mẫu mã độc IoT botnet và 6031 tập tin lành tính cho thấy phương pháp đề xuất đạt độ chính xác (accuracy) và độ đo F1 lên tới 98,1%.

Phát hiện chiến dịch tấn công sử dụng botnet khai thác các lỗ hổng trên Linux

09:00 | 26/01/2021

Mới đây, các chuyên gia đã phát hiện một chiến dịch tấn công sử dụng mã độc hại, khai thác các lỗ hổng tồn tại trong thiết bị lưu trữ mạng trên hệ điều hành Linux, với mục tiêu thực hiện tấn công từ chối dịch vụ và khai thác tiền điện tử Monero.

Phát hiện lỗ hổng bảo mật nghiêm trọng trên Microsoft Teams

10:00 | 28/09/2022

Mới đây, công ty nghiên cứu an ninh mạng Vectra (Mỹ) đã phát hiện ra một lỗ hổng nghiêm trọng trên ứng dụng họp trực tuyến Microsoft Teams.

Tin cùng chuyên mục

Nhóm tin tặc Việt Nam bị nghi đánh cắp dữ liệu tài chính ở châu Á

10:00 | 24/04/2024

Một nhóm tin tặc được cho là từ Việt Nam đang nhắm mục tiêu vào các tổ chức tài chính ở châu Á để đánh cắp các dữ liệu tài chính.

Chiến dịch gián điệp mạng Sea Turtle nhắm mục tiêu vào các công ty của Hà Lan

13:00 | 17/01/2024

Các nhà cung cấp dịch vụ viễn thông, truyền thông, Internet, các nhà cung cấp dịch vụ công nghệ thông tin (CNTT) và các trang web của người Kurd ở Hà Lan đã trở thành mục tiêu của một chiến dịch gián điệp mạng mới được thực hiện bởi một nhóm tin tặc Türkiye-nexus có tên là (Rùa biển).

Lỗ hổng LogoFAIL có thể ảnh hưởng đến phần lớn các máy tính

16:00 | 18/12/2023

Các nhà nghiên cứu từ công ty bảo mật chuỗi cung ứng Binarly cho biết lỗ hổng firmware có tên gọi là LogoFAIL có thể ảnh hưởng đến 95% máy tính, cho phép tin tặc vượt qua cơ chế bảo vệ Secure Boot và thực thi phần mềm độc hại trong quá trình khởi động. Các lỗ hổng xuất phát từ trình phân tích cú pháp hình ảnh được sử dụng trong firmware hệ thống UEFI để tải hình ảnh logo trên màn hình khởi động.

Phân tích biến thể mới của phần mềm độc hại SysJoker trong các cuộc tấn công mạng nhắm vào Israel

16:00 | 01/12/2023

Các nhà nghiên cứu an ninh mạng của hãng bảo mật Check Point cho biết đã phát một số biến thể mới của phần mềm độc hại SysJoker, trong đó bao gồm một biến thể được mã hóa bằng Rust, được các tin tặc ủng hộ Hamas sử dụng trong các cuộc tấn công mạng nhắm đến Israel, trong bối cảnh leo thang cuộc xung đột vũ trang giữa Israel và Hamas đang diễn ra. Trong bài viết này sẽ tập trung phân tích phiên bản Rust của SysJoker dựa trên báo cáo nghiên cứu mới đây của Check Point.