Microsoft triệt phá thành công mạng lưới botnet Necurs

09:00 | 25/03/2020 | HACKER / MALWARE

Trung tuần tháng 3, Microsoft thông báo, hãng đã phá vỡ thành công mạng lưới botnet của mã độc Necurs. Đây là phần mềm độc hại lây nhiễm hơn 9 triệu máy tính trên toàn cầu.

Cuộc triệt phá mạng lưới botnet này là kết quả của hoạt động phối hợp liên quan đến cảnh sát quốc tế và các công ty công nghệ tư nhân trên 35 quốc gia.

Việc truy quét diễn ra thành công sau khi các nhà nghiên cứu phá vỡ thuật toán đăng ký tên miền (Domain Generation algorithm – DGA) được thực hiện bởi Necurs. Đây là một thuật toán giúp Necurs duy trì khả năng phục hồi trong một thời gian dài.

DGA là một kỹ thuật để tạo ra các tên miền mới ngẫu nhiên theo một chu kỳ nhất định, giúp tin tặc liên tục chuyển đổi vị trí của các máy chủ C&C và duy trì liên lạc không bị gián đoạn với các máy tính bị nhiễm.

Microsoft chia sẻ, sau khi phá vỡ được thuật toán DGA, hãng đã có thể dự đoán chính xác hơn 6 triệu tên miền sẽ được tạo trong 25 tháng tới. Thông tin về các tên miền dự đoán sẽ được báo cáo cho các cơ quan quản lý tại các quốc gia. Điều này giúp ngăn chặn các trang web độc hại không trở thành một phần cơ sở hạ tầng của Necurs.

Cùng với sự trợ giúp từ tòa án, Microsoft cũng đã giành được quyền kiểm soát cơ sở hạ tầng tại Hoa Kỳ mà Necurs sử dụng để phân phối phần mềm độc hại và lây nhiễm máy tính của nạn nhân.

Được phát hiện lần đầu tiên vào năm 2012, Necurs là một trong những botnet gửi thư rác phổ biến nhất thế giới. Nó lây nhiễm vào hạ tầng mạng công nghệ thông tin bằng nhiều cách thức, như: mã độc ngân hàng, mã độc đào tiền ảo, mã độc tống tiền… Sau khi lây nhiễm, mã độc sẽ gửi một lượng lớn thư rác cho nạn nhân mới.

Microsoft triệt phá thành công mạng lưới botnet Necurs

Bản đồ các quốc gia bị ảnh hưởng bởi botnet Necurs

Để tránh bị phát hiện và duy trì hoạt động trên máy tính mục tiêu, Necurs sử dụng rootkit ở chế độ cấp hệ thống nhằm vô hiệu hóa các ứng dụng bảo mật như Windows Firewall.

Năm 2017 là thời gian hoạt động bùng nổ của Necurs, khi bắt đầu lây nhiễm mã độc ngân hàng Dridex và mã độc tống tiền Locky với tốc độ 5 triệu email mỗi giờ cho các máy tính trên toàn cầu.

Trong suốt 58 ngày điều tra, Microsoft đã quan sát một máy tính bị nhiễm Necurs đã gửi tổng cộng 3,8 triệu thư rác đến hơn 40,6 triệu máy khác. Trong một số trường hợp, tin tặc thực hiện tống tiền bằng các chứng cứ về việc ngoại tình và đe dọa sẽ gửi bằng chứng cho vợ hoặc chồng, gia đình, bạn bè và đồng nghiệp của nạn nhân.

Theo số liệu thống kê mới nhất được công bố bởi các nhà nghiên cứu, Ấn Độ, Indonesia, Thổ Nhĩ Kỳ, Việt Nam, Mexico, Thái Lan, Iran, Philippines và Brazil là những quốc gia bị mã độc Necurs tấn công nhiều nhất.

Trí Công

The hacker news

‹ › ×

Tin liên quan

Microsoft cảnh báo về mã độc tống tiền tấn công hệ thống y tế

11:00 | 12/04/2020

Mới đây, Microsoft đã thông báo về nguy cơ mất an toàn thông tin cho hàng chục bệnh viện có cơ sở hạ tầng với thiết bị cổng và VPN dễ bị tổn thương.

Số lượng mã độc trên di động tại Việt Nam thấp thứ 2 khu vực Đông Nam Á

14:00 | 07/11/2019

Theo số liệu từ Kaspersky, tại Việt Nam, 4,97% người dùng Android đã được bảo vệ khỏi mã độc di động trong ba quý đầu năm 2019.

Phát hiện mã độc IoT botnet dựa trên đồ thị PSI với mô hình Skip-gram

15:00 | 18/02/2020

CSKH-01.2018 - (Tóm tắt) - Trong bài báo này, nhóm tác giả đề xuất một phương pháp phát hiện mã độc IoT botnet dựa trên đồ thị PSI (Printable String Information) sử dụng mạng nơ-ron tích chập (Convolutional Neural Network - CNN). Thông qua việc phân tích đặc tính của Botnet trên các thiết bị IoT, phương pháp đề xuất xây dựng đồ thị để thể hiện các mối liên kết giữa các PSI, làm đầu vào cho mô hình mạng nơ-ron CNN phân lớp. Kết quả thực nghiệm trên bộ dữ liệu 10033 tập tin ELF gồm 4002 mẫu mã độc IoT botnet và 6031 tập tin lành tính cho thấy phương pháp đề xuất đạt độ chính xác (accuracy) và độ đo F1 lên tới 98,1%.

Phát hiện chiến dịch tấn công sử dụng botnet khai thác các lỗ hổng trên Linux

09:00 | 26/01/2021

Mới đây, các chuyên gia đã phát hiện một chiến dịch tấn công sử dụng mã độc hại, khai thác các lỗ hổng tồn tại trong thiết bị lưu trữ mạng trên hệ điều hành Linux, với mục tiêu thực hiện tấn công từ chối dịch vụ và khai thác tiền điện tử Monero.

Phát hiện lỗ hổng bảo mật nghiêm trọng trên Microsoft Teams

10:00 | 28/09/2022

Mới đây, công ty nghiên cứu an ninh mạng Vectra (Mỹ) đã phát hiện ra một lỗ hổng nghiêm trọng trên ứng dụng họp trực tuyến Microsoft Teams.

Tin cùng chuyên mục

Netskope phát hiện có nhiều mã nguồn được đẩy vào ChatGPT

10:00 | 12/09/2023

Mới đây, công ty phần mềm Netskope (Mỹ) đã đưa ra một báo cáo cho thấy, mã nguồn được đẩy vào ChatGPT nhiều hơn bất kỳ loại dữ liệu nhạy cảm nào, với tỷ lệ 158 sự cố trên 10 nghìn người dùng mỗi tháng.

Phát hiện chiêu trò lừa đăng bài để chiếm đoạt tài khoản mạng xã hội

07:00 | 05/09/2023

Tình trạng lừa đảo trực tuyến diễn ra ngày càng phức tạp trên môi trường số, các mạng xã hội được xem là nơi mà nhiều đối tượng tìm kiếm nạn nhân để tiến hành lừa đảo. Thời gian gần đây, nhiều người dùng cho biết gặp phải chiêu trò mới của các đối tượng lừ đảo nhằm đánh cắp tài khoản mạng xã hội. Mục tiêu của đối tượng lừa đảo thường là các quản trị viên của những fanpage hoặc hội nhóm sở hữu số lượng thành viên đông đảo.

Tin tặc có thể lợi dụng Microsoft Office để tải xuống phần mềm độc hại

14:00 | 17/08/2023

Danh sách các tệp LOLBAS (Living Off The Land Binaries and Scripts) - các tệp nhị phân và tập lệnh hợp pháp có trong Windows có thể bị lợi dụng cho các hành vi độc hại, bao gồm các tệp thực thi của ứng dụng Outlook và Access.

Tin tặc Trung Quốc khai thác bộ định tuyến TP-Link để duy trì tấn công liên tục

07:00 | 22/05/2023

Một nhóm tin tặc Trung Quốc có tên “Mustang Panda” được cho là liên quan đến các cuộc tấn công tinh vi và có mục tiêu nhằm vào các cơ quan đối ngoại của châu Âu kể từ tháng 1/2023. Theo các nhà nghiên cứu an ninh mạng phân tích về những vụ xâm nhập đã cho thấy đã có một bộ cấy phần sụn tùy chỉnh được thiết kế rõ ràng để khai thác bộ định tuyến TP-Link nhằm mục đích duy trì tấn công một cách liên tục.