Microsoft deja Necurs Botnet en ruinas

 Microsoft y sus socios han interrumpido la red de bots de Necurs, culpada de grandes operaciones de spam y cibercrimen

Microsoft anunció esta semana el éxito de sus esfuerzos, realizados conjuntamente con socios de 35 países, para interrumpir al grupo de redes de bots de Necurs, culpado por infectar más de 9 millones de computadoras en todo el mundo.

Hay 11 botnets bajo el paraguas de Necurs, aparentemente todas controladas por un solo grupo, según Valter Santos, investigador de seguridad en Bitsight que trabajó con Microsoft en el derribo. Cuatro de esas redes de bots representan aproximadamente el 95 por ciento de todas las infecciones.

"Necurs es el exploit con nombre que se usa de manera más sistemática", dijo Rob Enderle, analista principal del Enderle Group .

El Tribunal de Distrito de los Estados Unidos para el Distrito Este de Nueva York emitió la semana pasada una orden que permite a Microsoft tomar el control de la infraestructura con sede en Estados Unidos que Necurs utiliza para distribuir malware e infectar a las computadoras víctimas.

Microsoft descubrió el nuevo los dominios que Necurs generaría algorítmicamente y los informaría a los registros respectivos en todo el mundo para que pudieran ser bloqueados.

Microsoft también se está asociando con ISP, registros de dominios, CERT gubernamentales y la policía en varios países para ayudar a eliminar el malware asociado con Necurs de las computadoras de los usuarios .

La actividad de la botnet se estancó este mes, pero quedan unos 2 millones de sistemas infectados, esperando en estado latente el renacimiento de Necurs.

Estos sistemas "deberían ser identificados y reconstruidos "para evitar dejarlos susceptibles a Necurs u otra botnet", dijo Enderle a TechNewsWorld.

"Podrían hacer mucho daño si no se encuentran a tiempo", dijo.

"Microsoft es "Una de las pocas compañías que persigue a los malos actores y no solo aborda los problemas de seguridad", señaló Enderle. "Hasta que el mundo se vuelva agresivo al llevar a los malos actores ante la justicia, continuaremos en riesgo de un evento informático catastrófico en todo el mundo. Este problema debe resolverse en la fuente".

El brazo largo de Necurs

Necurs es una de las redes más grandes en el ecosistema de amenazas de correo electrónico no deseado.

Durante un período de 58 días en la investigación dirigida por Microsoft, una sola computadora infectada con Necurs envió un total de 3,8 millones de correos electrónicos no deseados a más de 40,6 millones de posibles víctimas, señaló el vicepresidente corporativo de Microsoft, Tom Burt.

Necurs se detectó por primera vez en 2012. Se conoce principalmente como un gotero para otro malware, incluidos GameOver Zeus, Dridex, Locky y Trickbot, dijo Santos de Bitsight.

Sus principales usos han sido como spambot: un mecanismo de entrega de estafas de acciones de bombeo y descarga, correo electrónico falso de spam farmacéutico y estafas de citas rusas. También se ha utilizado para atacar otras computadoras en Internet, robar credenciales para cuentas en línea y robar información personal y datos confidenciales de las personas.

La botnet es conocida por distribuir malware y ransomware dirigidos financieramente, así como por criptominería. Tiene una capacidad DDoS (denegación de servicio distribuida), aunque eso no se ha activado.

De 2016 a 2019, Necurs fue responsable del 90 por ciento del malware propagado por correo electrónico en todo el mundo, según Santos de BitSight.

" Necurs es esencialmente un sistema operativo para entregar cosas malas a las máquinas infectadas ", dijo Mike Jude, director de investigación de IDC .

" Por sí solo, no es realmente amenazante ", dijo a TechNewsWorld. "Es más como un código molesto que funciona en el nivel raíz. Pero las cosas que puede entregar o activar pueden ser devastadoras".

Los operadores de Necurs también ofrecen un servicio de botnet para alquilar, vender o alquilar acceso a dispositivos informáticos infectados a otros cibercriminales.

Se cree que Necurs es el trabajo de delincuentes con base en Rusia.

Cómo funciona Necurs

Los desarrolladores de Necurs implementaron un enfoque por capas para que los sistemas infectados se comuniquen con sus servidores de comando y control a través de una mezcla de canales de comunicación centralizados y de igual a igual, encontró BitSight.

Necurs se comunica con sus operadores principalmente a través de una lista incrustada de IP, y ocasionalmente a través de dominios estáticos incrustados en la muestra de malware. También puede usar algoritmos de generación de dominio.

Un DGA ficticio produce dominios que se utilizarán para ver si el malware se está ejecutando en un entorno simulado. Un segundo DGA busca dominios .bit codificados.

El dominio de nivel superior .bit es un modelo DNS alternativo, mantenido por Namecoin, que utiliza una infraestructura de cadena de bloques y es más difícil de interrumpir que los TLD regulados por ICANN, dijo Santos .

Si ninguno de los otros métodos puede obtener un servidor C&C activo, el DGA principal se activa. Produce 2,048 posibles dominios C2 cada cuatro días en 43 TLD, incluido .bit, basado en la fecha actual y una semilla codificada en el binario Todos los dominios se prueban hasta que uno resuelve y responde utilizando el protocolo correcto.

Si todos los métodos anteriores fallan, el dominio C&C se recupera de la red P2P siempre activa, que actúa como el canal principal para actualizar los servidores C&C. Una lista inicial de aproximadamente 2,000 pares está codificada en el binario, pero se puede actualizar según sea necesario. Los pares de la lista se conocen como "supernodos": sistemas de víctimas con un estado elevado dentro de la infraestructura.

Además, el malware utiliza un algoritmo que convierte las direcciones IP recibidas a través de DNS en las direcciones IP reales de sus servidores. [19659003] La infraestructura de C&C está dividida en niveles, con múltiples capas de proxies de C&C, para hacer que el descubrimiento sea aún más difícil.

El primer nivel de servidores de C&C consiste en servidores privados virtuales baratos en países como Rusia y Ucrania. Hacen un proxy inverso de todas las comunicaciones a los servidores de C&C de segundo nivel, que generalmente están alojados en Europa y, a veces, en Rusia. Las comunicaciones avanzan más arriba en la cadena hasta que finalmente alcanzan el extremo posterior.

En los días normales de la operación de Necurs, BitSight detectaba menos de 50,000 sistemas infectados diariamente cuando había C&C activos, y entre 100,000 y 300,000 cuando los C&C estaban inactivos

"Las observaciones únicas diarias continúan subestimando el tamaño real de la botnet", comentó Santos.

Dejar caer el martillo sobre Necurs

Analizar el DGA de Necurs permitió a Microsoft hacer predicciones precisas de más de 6 millones de dominios únicos que el grupo de botnets crearía en los próximos 25 meses. Su demanda y asociaciones con varias entidades evitarán que Necurs las registre y las use.

Microsoft "ha hecho un trabajo estelar al desarmar esta versión, pero estas cosas evolucionan, y es probable que haya otra iteración si esta se convierte más o menos neutralizado ", observó Jude de IDC.

" El código es fácil de cambiar y no se está desarrollando en el vacío ", señaló. "La gente detrás de esto probablemente ya esté investigando cómo Microsoft realizó ingeniería inversa de su enfoque y lo está incorporando en la próxima versión".


Leave a Reply

Your email address will not be published. Required fields are marked *