This post is also available in: Português Español
Microsoft anunció que neutralizó el malware Necurs, responsable de ataques alrededor de todo el mundo, incluyendo Latinoamérica como un gran afectado.
El famoso dicho “a todo puerco le llega su sábado” ahora tiene una versión en el ámbito de la seguridad digital. Microsoft, afirma que logró eliminar la red del malware Necurs, que infectó a más de 9 millones de computadoras en todo el mundo, un número tan relevante que es superior a la cantidad de habitantes de países como Austria o Suiza.
Además, la empresa también se apoderó de la mayor parte de la infraestructura de Necurs. Estas acciones fueron resultado de una operación coordinada entre diversos sectores de la policía de diferentes países y empresas privadas de tecnología en 35 países. La operación fue llevada a cabo con éxito, luego de que los investigadores quebraran el algoritmo de generación de dominio (DGA, por sus siglas en inglés) implementado por Necurs, lo que le permitió mantenerse fuertemente establecido por un largo tiempo.
El DGA básicamente se trata de una técnica para generar nuevos nombres de dominios en intervalos irregulares, ayudando a los autores del malware a mudar constantemente la localización de sus servidores C&C, manteniendo las comunicaciones con las máquinas infectadas sin interrupciones. Esto permitió prevenir, con precisión, más de 6 millones de dominios únicos que se crearían en los próximos 2 años.
Microsoft creó informes sobre esos dominios en sus respectivos registros en diferentes países, para que así los sitios web puedan ser bloqueados y, por lo tanto, imposibilitados de convertirse en parte de la infraestructura de Necurs. Además, ayudándose con órdenes judiciales, Microsoft también consiguió tomar el control sobre la infraestructura norteamericana que Necurs usaba para distribuir el malware e infectar a las computadoras de las víctimas. “Al asumir el control sobre los sitios web existentes e inhibir la capacidad de registrar nuevos sitios, interrumpimos significativamente su red de bots”, dicen los especialistas.
El fin del malware Necurs
Detectado por primera vez en el 2012, el malware Necurs es uno de los botnets de spam más eficientes del mundo. Este infecta los sistemas usando malware bancario, malware con criptojacking y ransomware, y después los utiliza para enviar grandes cantidades de correos electrónicos de spam a nuevas víctimas.
Para evitar la detección y mantener su posición en las computadoras de destino, Necurs utiliza su rootkit en modo kernel, que desactiva un gran número de aplicaciones de seguridad, incluyendo el Firewall de Windows.
El malware comenzó a ganar fama principalmente en el 2017, cuando pasó a esparcir los ransomware Dridex y Locky con una tasa de 5 milllones de correos electrónicos por hora. Del 2016 a 2019, fue el método más destacado de envío, por criminales, de spam y malware, siendo responsable del 90% de los malwares propagados por correo electrónico en el mundo.
Durante los 58 días de investigación, los investigadores vieron que un computador infectado con Necurs, envió un total de 3,8 millones de correos spam a más de 40,6 millones de potenciales víctimas. En algunos casos, los criminales comenzaban a chantajear a las víctimas pidiendo rescates, alegando conocer alguna infidelidad y amenazando enviarle las pruebas al cónyuge, la familia, los amigos y compañeros de trabajo de la víctima.
De acuerdo con las estadísticas más recientes publicadas por los investigadores, India, Indonesia, Turquía, Vietnam, México, Tailandia, Irán, Filipinas y Brasil son los países más afectados por Necurs, que actualmente se espera nunca vuelva a sus días de gloria.
Síganos en las redes sociales para no perderse ninguno de nuestros materiales: Facebook, Instagram y LinkedIn.
Fuente: The hacker News