Microsoft y sus socios en 35 países han anunciado haber adoptado “medidas legales y técnicas” para desmantelar Necurs, la mayor botnet delictiva del mundo que según la compañía había infectado a más de 9 millones de ordenadores. La clave para detener la red de equipos informáticos infectados fue romper el algoritmo de generación de dominio (DGA, por sus siglas en inglés) que usaba.
La DGA de Necurs permitía a sus administradores generar sistemáticamente dominios con semanas y meses de antelación y alojaban la botnet en los servidores de una infraestructura de mando y control, donde los ordenadores infectados se conectaban para recibir instrucciones. Al quebrar la DGA de la botnet, "se han podido predecir con precisión más de seis millones de dominios únicos que se crearían en los próximos 25 meses”, revela Tom Burt, vicepresidente de Microsoft Customer Security & Trust.
“Microsoft informó de estos dominios a los respectivos registros en países de todo el mundo para que los sitios web pudieran ser bloqueados, evitando así que formaran parte de la infraestructura de Necurs”, continúa Tom Burt. “Al tomar el control de los sitios web existentes e impedir que se registren otros nuevos, hemos podido interrumpir significativamente la botnet”.
Según la Unidad de Crímenes Digitales de Microsoft, Necurs “es operada por delincuentes localizados en Rusia” y ha sido usada para repartir spam, malware y ransomware, hacer minado de criptomonedas y llevar a cabo todo tipo de actividades ilegales. Por ejemplo, se le atribuye la distribución del troyano bancario GameOver Zeus, haber cometido fraude con el objetivo de modificar el valor de las acciones cotizadas en la Bolsa o enviado correos electrónicos falsos de spam farmacéutico y estafas de supuestas citas con mujeres rusas.
A modo de ejemplo, Microsoft revela que durante la investigación que se llevó a cabo por un periodo de 58 días se observó que un ordenador infectado por Necurs envió un total de 3,8 millones de correos electrónicos de spam a más de 40,6 millones de víctimas potenciales. La compañía también afirma que la botnet tenía una capacidad de ataque de denegación de servicio (DDoS) que no había sido activada.
El fin de Necurs, a la que se vio operar por primera vez en 2012, llegó el pasado jueves 5 de marzo, cuando el Tribunal Federal de Nueva York emitió una orden que permitió a Microsoft tomar el control de la infraestructura estadounidense. Esta acción legal se combinó con al colaboración de instituciones públicas y privadas de todo el mundo (ISPs, registros de dominios, CERTs y fuerzas del orden) con el objetivo de desmantelar por completo la botnet. Entre los países que han formado parte de la operación encontramos a España.
