Microsoft vient d’annoncer avoir pris le contrôle de l’infrastructure américaine du réseau de botnets Necurs.
La marque a également pris des mesures pour empêcher les développeurs des botnets d’enregistrer de nouveaux domaines et de reconstruire l’infrastructure.
L’ampleur du réseau de Necurs
Le botnet Necurs est apparu pour la première fois en 2012.
Il est devenu l’un des plus grands réseaux de distribution de spams et de malwares. Le botnet a infecté 9 millions d’appareils par des malwares, ce qui a permis au groupe de cybercriminels à l’origine du réseau de prendre le contrôle de chaque appareil.
Le botnet Necurs est utilisé pour commettre un large éventail de cyberattaque menées par ses développeurs et par d’autres groupes cybercriminels qui louent des parties du botnet en tant que service.
Le réseau de botnets a été utilisé pour la distribution de malwares et de ransomwares et pour le cryptomining. Il a également servi pour des attaques contre des ordinateurs dans le but de voler des informations d’identification et des données confidentielles.
Par ailleurs, le réseau de botnets Necurs dispose d’un module permettant de lancer une attaque par déni de service distribué (DDoS) massive, bien que cette fonction n’ait pas encore été utilisée.
La principale utilisation du botnet est le spamming. Il a été utilisé pour envoyer de grandes quantités de spams, y compris des e-mails proposant de faux produits pharmaceutiques et des escroqueries et extorsion via des sites de rencontres.
Pour donner un exemple de l’ampleur de la campagne de spamming lancée via le réseau de botnets Necurs, sachez que sur une période d’observation de 58 jours, Microsoft a découvert qu’un seul ordinateur infecté par le malware avait envoyé 3,8 millions de spams à 40,6 millions de comptes de messagerie (cela ne représente qu’un seul appareil infecté sur 9 millions).
En 2017, le botnet était également utilisé pour diffuser des ransomwares dénommés Dridex et Locky à raison de 5 millions d’e-mails par heure. Entre 2016 et 2019, le botnet était encore responsable de 90 % des attaques de malwares par e-mail.
Le démantèlement de l’infrastructure de Necurs
Microsoft a suivi les activités criminelles des pirates derrière le réseau de botnets Necurs pendant 8 ans.
On pense que le gang est Evil Corp, un groupe cybercriminels russe qui était derrière la campagne de lancement du cheval de Troie bancaire Dridex. Evil Corp a été désigné comme le groupe cybercriminel le plus dangereux au monde.
Le démantèlement du botnet Necurs a nécessité un effort coordonné de la part de Microsoft et de ses partenaires dans 35 pays. Le 5 mars 2020, Microsoft a obtenu une ordonnance de la Cour du District Est de New-York, lui ordonnant de saisir les domaines américains utilisés par les opérateurs du botnet Necurs.
La simple saisie des domaines ne serait pas suffisante pour faire tomber le botnet, car ses serveurs de commande et de contrôle pourraient être rapidement reconstruits. Les domaines utilisés par les acteurs de la menace sont souvent supprimés, mais de nouveaux domaines sont constamment enregistrés des semaines ou des mois à l’avance.
Pour démanteler l’infrastructure du réseau de botnets Necurs, l’équipe de Microsoft s’est efforcée de déchiffrer l’algorithme utilisé par les cybercriminels pour générer de nouveaux domaines.
D’abord, la marque a analysé l’algorithme puis calculé plus de 6 millions de domaines qui étaient susceptibles d’être utilisés par les pirates au cours de 25 mois. Une fois que les domaines ont été détectés, des mesures ont été prises pour les empêcher d’être enregistrés et de faire de nouveau partie de l’infrastructure de Necurs.
Près de 9 millions d’appareils dans le monde sont toujours infectés par le botnet Necurs. Microsoft et ses partenaires ont identifié les appareils infectés et travaillent actuellement avec les fournisseurs d’accès internet et les équipes du CERT dans le monde entier pour supprimer les malwares dans ces appareils.