Das Tausendsassa-Botnet Necurs ist Geschichte. Kriminelle haben den Zusammenschluss aus rund 9 Millionen kompromittierten Computern weltweit unter anderem für den Versand von Spam-Mails, Cryptomining, das Kopieren von Login-Daten und die Verteilung von Ransomware genutzt.

Wie aus einem Blog-Eintrag hervorgeht, war Microsoft maßgeblich an der Stilllegung beteiligt. Nun habe man eigenen Angaben zufolge die Kontrolle über die Necurs-Infrastruktur erlangt und könne die Drahtzieher an weiteren Aktionen hindern.

Weltweite Operation

Um das zu erreichen, hat Microsoft mit verschiedenen Partnern aus 35 Ländern acht Jahre lang ermittelt und Spuren verfolgt. Dabei sind sie auf das Schema gestoßen, wie die Necurs-Hintermänner Domains erstellen. So konnten Microsoft & Co. über sechs Millionen Domains für die kommenden zwei Jahre erschließen und sie bei Registraren melden.

Damit die Domains nicht Teil von Necurs werden, haben die Registrare sie gesperrt. Somit sind die Necurs-Drahtzieher quasi gelähmt. Über bestehende Domains haben die Ermittler eigenen Angaben zufolge bereits die Kontrolle übernommen.

Darüber hinaus gibt Microsoft an, mit Internet-Providern und anderen Institutionen wie CERTs zusammenzuarbeiten, um Computer weltweit von Necurs-Malware zu befreien.

Kurzer Abriß

Das Necurs-Botnet tauchte im Jahr 2012 erstmals auf dem Radar von Sicherheitsforschern auf. Seitdem sorgt das kriminelle Netzwerk weltweit für Ärger. 2017 wurde unter anderem der Erpressungstrojaner Locky über das Botnet verteilt. Im selben Jahr wurde es auch zur Aktienmanipulation eingesetzt. Berichten zufolge stand Necurs auch anderen Kriminellen zur Miete zur Verfügung.

In erster Linie war Necurs aber eines der potentesten Netzwerke für den Versand von Spam-Mails. Während einer 58-tägigen Überwachung beobachteten die Ermittler einen im Botnetz befindlichen Computer, der in diesem Zeitraum 3,8 Millionen Spam-Mails an über 40 Millionen Opfer verschickt hat. (des)