Cuộc triệt phá mạng lưới botnet này là kết quả của hoạt động phối hợp liên quan đến cảnh sát quốc tế và các công ty công nghệ tư nhân trên 35 quốc gia.
Việc truy quét diễn ra thành công sau khi các nhà nghiên cứu phá vỡ thuật toán đăng ký tên miền (Domain Generation algorithm – DGA) được thực hiện bởi Necurs. Đây là một thuật toán giúp Necurs duy trì khả năng phục hồi trong một thời gian dài.
DGA là một kỹ thuật để tạo ra các tên miền mới ngẫu nhiên theo một chu kỳ nhất định, giúp tin tặc liên tục chuyển đổi vị trí của các máy chủ C&C và duy trì liên lạc không bị gián đoạn với các máy tính bị nhiễm.
Microsoft chia sẻ, sau khi phá vỡ được thuật toán DGA, hãng đã có thể dự đoán chính xác hơn 6 triệu tên miền sẽ được tạo trong 25 tháng tới. Thông tin về các tên miền dự đoán sẽ được báo cáo cho các cơ quan quản lý tại các quốc gia. Điều này giúp ngăn chặn các trang web độc hại không trở thành một phần cơ sở hạ tầng của Necurs.
Cùng với sự trợ giúp từ tòa án, Microsoft cũng đã giành được quyền kiểm soát cơ sở hạ tầng tại Hoa Kỳ mà Necurs sử dụng để phân phối phần mềm độc hại và lây nhiễm máy tính của nạn nhân.
Được phát hiện lần đầu tiên vào năm 2012, Necurs là một trong những botnet gửi thư rác phổ biến nhất thế giới. Nó lây nhiễm vào hạ tầng mạng công nghệ thông tin bằng nhiều cách thức, như: mã độc ngân hàng, mã độc đào tiền ảo, mã độc tống tiền… Sau khi lây nhiễm, mã độc sẽ gửi một lượng lớn thư rác cho nạn nhân mới.
Bản đồ các quốc gia bị ảnh hưởng bởi botnet Necurs
Để tránh bị phát hiện và duy trì hoạt động trên máy tính mục tiêu, Necurs sử dụng rootkit ở chế độ cấp hệ thống nhằm vô hiệu hóa các ứng dụng bảo mật như Windows Firewall.
Năm 2017 là thời gian hoạt động bùng nổ của Necurs, khi bắt đầu lây nhiễm mã độc ngân hàng Dridex và mã độc tống tiền Locky với tốc độ 5 triệu email mỗi giờ cho các máy tính trên toàn cầu.
Trong suốt 58 ngày điều tra, Microsoft đã quan sát một máy tính bị nhiễm Necurs đã gửi tổng cộng 3,8 triệu thư rác đến hơn 40,6 triệu máy khác. Trong một số trường hợp, tin tặc thực hiện tống tiền bằng các chứng cứ về việc ngoại tình và đe dọa sẽ gửi bằng chứng cho vợ hoặc chồng, gia đình, bạn bè và đồng nghiệp của nạn nhân.
Theo số liệu thống kê mới nhất được công bố bởi các nhà nghiên cứu, Ấn Độ, Indonesia, Thổ Nhĩ Kỳ, Việt Nam, Mexico, Thái Lan, Iran, Philippines và Brazil là những quốc gia bị mã độc Necurs tấn công nhiều nhất.
Trí Công
The hacker news
11:00 | 12/04/2020
14:00 | 07/11/2019
15:00 | 18/02/2020
09:00 | 26/01/2021
10:00 | 28/09/2022
13:00 | 21/08/2024
Mặc dù đã có những biện pháp kiểm duyệt từ Google, tuy nhiên kho ứng dụng Play Store dành cho nền tảng Android vẫn thường xuyên ghi nhận xuất hiện các phần mềm có chứa mã độc.
08:00 | 12/07/2024
Mới đây, công ty bảo mật Symantec đã đưa ra cảnh báo về một cuộc tấn công mới, lừa người dùng đến các trang web giả mạo và yêu cầu cung cấp thông tin Apple ID. Những thông tin xác thực này cho phép tin tặc kiểm soát các thiết bị, truy cập thông tin cá nhân và tài chính.
10:00 | 04/07/2024
Các nhà nghiên cứu đã phát hành một tập lệnh khai thác (PoC) cho chuỗi lỗ hổng dẫn đến thực thi mã từ xa (RCE) trên các máy chủ Progress Telerik Report.
10:00 | 13/05/2024
Trong thời đại công nghệ số hiện nay, lỗ hổng bảo mật là một trong những nguyên nhân hàng đầu dẫn đến các cuộc tấn công mạng. Do đó, việc nâng cao hiểu biết và nhận thức về các mối đe dọa mạng ngày càng cần thiết. Việt Nam là một trong những quốc gia có tốc độ phát triển và ứng dụng Internet cao thế giới, thế nhưng vấn đề bảo vệ dữ liệu cá nhân vẫn còn gặp nhiều bất cập trong xu thế toàn cầu hóa về chuyển đổi số. Bài báo sẽ thông tin tới độc giả thực trạng mối đe dọa về lỗ hổng bảo mật; một số lỗ hổng phổ biến; phương thức, thủ đoạn khai thác, nguyên nhân xuất hiện lỗ hổng bảo mật, từ đó đưa ra những giải pháp phòng chống và ngăn chặn.
Các nhà nghiên cứu bảo mật tại Cisco Talos vừa phát hiện ra một số lỗ hổng Microsoft Office, cho phép tin tặc theo dõi người dùng thông qua camera và micro.
10:00 | 23/08/2024