Cuộc triệt phá mạng lưới botnet này là kết quả của hoạt động phối hợp liên quan đến cảnh sát quốc tế và các công ty công nghệ tư nhân trên 35 quốc gia.
Việc truy quét diễn ra thành công sau khi các nhà nghiên cứu phá vỡ thuật toán đăng ký tên miền (Domain Generation algorithm – DGA) được thực hiện bởi Necurs. Đây là một thuật toán giúp Necurs duy trì khả năng phục hồi trong một thời gian dài.
DGA là một kỹ thuật để tạo ra các tên miền mới ngẫu nhiên theo một chu kỳ nhất định, giúp tin tặc liên tục chuyển đổi vị trí của các máy chủ C&C và duy trì liên lạc không bị gián đoạn với các máy tính bị nhiễm.
Microsoft chia sẻ, sau khi phá vỡ được thuật toán DGA, hãng đã có thể dự đoán chính xác hơn 6 triệu tên miền sẽ được tạo trong 25 tháng tới. Thông tin về các tên miền dự đoán sẽ được báo cáo cho các cơ quan quản lý tại các quốc gia. Điều này giúp ngăn chặn các trang web độc hại không trở thành một phần cơ sở hạ tầng của Necurs.
Cùng với sự trợ giúp từ tòa án, Microsoft cũng đã giành được quyền kiểm soát cơ sở hạ tầng tại Hoa Kỳ mà Necurs sử dụng để phân phối phần mềm độc hại và lây nhiễm máy tính của nạn nhân.
Được phát hiện lần đầu tiên vào năm 2012, Necurs là một trong những botnet gửi thư rác phổ biến nhất thế giới. Nó lây nhiễm vào hạ tầng mạng công nghệ thông tin bằng nhiều cách thức, như: mã độc ngân hàng, mã độc đào tiền ảo, mã độc tống tiền… Sau khi lây nhiễm, mã độc sẽ gửi một lượng lớn thư rác cho nạn nhân mới.
Bản đồ các quốc gia bị ảnh hưởng bởi botnet Necurs
Để tránh bị phát hiện và duy trì hoạt động trên máy tính mục tiêu, Necurs sử dụng rootkit ở chế độ cấp hệ thống nhằm vô hiệu hóa các ứng dụng bảo mật như Windows Firewall.
Năm 2017 là thời gian hoạt động bùng nổ của Necurs, khi bắt đầu lây nhiễm mã độc ngân hàng Dridex và mã độc tống tiền Locky với tốc độ 5 triệu email mỗi giờ cho các máy tính trên toàn cầu.
Trong suốt 58 ngày điều tra, Microsoft đã quan sát một máy tính bị nhiễm Necurs đã gửi tổng cộng 3,8 triệu thư rác đến hơn 40,6 triệu máy khác. Trong một số trường hợp, tin tặc thực hiện tống tiền bằng các chứng cứ về việc ngoại tình và đe dọa sẽ gửi bằng chứng cho vợ hoặc chồng, gia đình, bạn bè và đồng nghiệp của nạn nhân.
Theo số liệu thống kê mới nhất được công bố bởi các nhà nghiên cứu, Ấn Độ, Indonesia, Thổ Nhĩ Kỳ, Việt Nam, Mexico, Thái Lan, Iran, Philippines và Brazil là những quốc gia bị mã độc Necurs tấn công nhiều nhất.
Trí Công
The hacker news
11:00 | 12/04/2020
14:00 | 07/11/2019
15:00 | 18/02/2020
09:00 | 26/01/2021
10:00 | 28/09/2022
09:00 | 06/03/2024
Tác nhân đe dọa liên quan đến Trung Quốc có tên là Mustang Panda đã nhắm mục tiêu vào nhiều quốc gia châu Á bằng cách sử dụng một biến thể mới của backdoor PlugX có tên là DOPLUGS.
09:00 | 28/02/2024
Đội ngũ chuyên gia an ninh mạng tại Kaspersky liên tục theo dõi sự phức tạp của các mối đe dọa đối với tổ chức tài chính, bao gồm cả ngân hàng và các mối đe dọa có động cơ tài chính như phần mềm tống tiền đang lan rộng đến nhiều ngành công nghiệp khác nhau. Trong bài viết này, các chuyên gia bảo mật Kaspersky sẽ đánh giá lại các dự đoán của họ trong năm 2023 và đưa ra những xu hướng dự kiến sẽ nổi lên trong năm 2024.
10:00 | 31/01/2024
Các nhà nghiên cứu tại công ty an ninh mạng CloudSEK (Ấn Độ) cho biết: tin tặc đang phân phối phần mềm đánh cắp thông tin bằng cách lợi dụng điểm cuối Google OAuth có tên MultiLogin để chiếm quyền điều khiển phiên của người dùng và cho phép truy cập liên tục vào các dịch vụ của Google ngay cả sau khi đặt lại mật khẩu.
14:00 | 16/01/2024
Theo nghiên cứu mới đây của Zimperium (công ty bảo mật di động có trụ sở tại Hoa Kỳ), 29 họ phần mềm độc hại đã nhắm mục tiêu vào 1.800 ứng dụng ngân hàng trên 61 quốc gia vào năm 2023. Nhiều hơn gần gấp 3 lần năm 2022 với 10 dòng phần mềm độc hại nhắm mục tiêu đến 600 ứng dụng ngân hàng. Có thể thấy được sự phát triển và tiện lợi của các ứng dụng ngân hàng trực tuyến, tuy nhiên chúng cũng đi kèm với nguy cơ tiềm ẩn về an toàn thông tin và gian lận tài chính.
Nhóm tình báo mối đe dọa Threat Intelligence của Microsoft cho biết, các tác nhân đe dọa đang tích cực khai thác các lỗ hổng nghiêm trọng trong OpenMetadata để có quyền truy cập trái phép vào khối lượng workload trong Kubernetes và lạm dụng chúng cho hoạt động khai thác tiền điện tử.
14:00 | 25/04/2024