This post is also available in: Português Español
Microsoft anuncia que neutralizou o malware Necurs, responsável por ataques em todo o planeta – com presença intensa no Brasil.
O famoso ditado “Um dia é o da caça, e outro é do caçador” ganhou uma versão no universo da segurança digital. A Microsoft afirma ter eliminado a rede do malware Necurs, que infectou mais de 9 milhões de computadores em todo o mundo – um número tão expressivo que é superior à quantidade de habitantes de países como Áustria ou Suíça.
Além disso, a empresa tomou conta também da maior parte de sua infraestrutura. A ação foi resultado de uma operação coordenada entre setores de polícias internacionais e empresas privadas de tecnologia em 35 países. A operação foi realizada com sucesso depois que os pesquisadores quebraram o algoritmo de geração de domínio (DGA, na sigla em inglês) implementado pelo Necurs, o que o ajudou a permanecer resiliente por um longo tempo.
O DGA é basicamente uma técnica para gerar novos nomes de domínio em intervalos regulares, ajudando os autores do malware a mudar continuamente a localização dos servidores C&C, mantendo sem interrupções a comunicação com as máquinas infectadas. Foi possível prever com precisão mais de seis milhões de domínios únicos que seriam criados nos próximos dois anos.
A Microsoft criou relatórios sobre esses domínios em seus respectivos registros em vários países, para que então os sites pudessem ser bloqueados e, assim, impedidos de se tornarem parte da infraestrutura do Necurs. Além disso, com a ajuda de ordens judiciais, a Microsoft também obteve controle sobre a infraestrutura norte-americana que o Necurs usava para distribuir o malware e infectar os computadores das vítimas. “Ao assumir o controle de sites existentes e inibir a capacidade de registrar novos, interrompemos significativamente sua rede de bots”, dizem os especialistas.
O fim do malware Necurs
Detectado pela primeira vez em 2012, o malware Necurs é um dos botnets de spam mais eficientes do mundo. Ele infecta os sistemas usando malware bancário, malware com criptojacking e ransomware, e depois os utiliza para enviar grandes quantidades de e-mails de spam a novas vítimas.
Para evitar a detecção e manter sua posição nos computadores de destino, o Necurs utiliza seu rootkit no modo kernel que desativa um grande número de aplicativos de segurança, incluindo o Firewall do Windows.
O malware começou a ganhar fama principalmente em 2017, quando passou a espalhar os ransomwares Dridex e Locky à taxa de 5 milhões de e-mails por hora. De 2016 a 2019, foi o método mais relevante de envio de spam e malware por cibercriminosos, sendo responsável por 90% dos malwares espalhados por e-mail em todo o mundo.
Durante os 58 dias de investigação, os pesquisadores viram que um computador infectado com o Necurs enviou um total de 3,8 milhões de e-mails de spam a mais de 40,6 milhões de vítimas em potencial. Em alguns casos, os criminosos começavam a chantagear as vítimas pedindo resgates, alegando ter conhecimento de casos extraconjugais e ameaçando enviar provas para o cônjuge, a família, os amigos e os colegas de trabalho da vítima.
De acordo com as estatísticas mais recentes publicadas pelos pesquisadores, Índia, Indonésia, Turquia, Vietnã, México, Tailândia, Irã, Filipinas e Brasil são os principais países atingidos pelo Necurs – que, agora, espera-se que jamais volte aos seus dias de glória.
Acompanhe-nos em nossas redes sociais para ficar por dentro de todos os nossos conteúdos: Facebook, Instagram, Linkedin e Twitter.
Fonte: The Hacker News
This post is also available in: Português Español
