Le botnet Necurs a été frappé en plein coeur. Dans une action coordonnée au niveau mondial dans 35 pays, Microsoft et de nombreux acteurs publics et privés (CSIRT, BitSight, FAI, agences gouvernementales...) sont parvenus à stopper l'un des plus grands réseaux d'ordinateurs zombies de la planète. Sévissant depuis 8 ans, ce dernier a permis notamment de diffuser des célèbres autant que dangereux malwares dont le trojan bancaire GameOver Zeux, Dridex ou encore Locky et Trickbot. « Au cours de 58 jours d'enquête nous avons par exemple observé qu'un l'un des ordinateurs infecté par Necurs a envoyé un total de 3,8 millions de spam e-mail sur plus de 40,6 millions de victimes potentielles », a indiqué Microsoft dans un billet. De 2016 à 2019, d'après BitSight, le réseau Necurs est à l'origine de la propagation de 90% des logiciels malveillants au niveau mondial.
Opérant a priori depuis la Russie, les criminels derrière Necurs ont utilisé pour leurs méfaits une panoplie de techniques couvrant des vols de données, l'envoi de spam e-mail pharmaceutique piégés, des escroqueries et extorsion via des sites de rencontres... « Il semble que les criminels derrière Necurs vendent ou louent l'accès aux appareils informatiques infectés à d'autres cybercriminels dans le cadre d'un service de botnet pour compte d'autrui », explique Microsoft. « Necurs est également connu pour distribuer des malwares et ransomwares financièrement ciblés, du cryptomining, et a même une capacité DDoS qui n'a pas encore été activée mais pourrait l'être à tout moment ».
Evolution des infections de Necurs observées ces dernières années par BitSight. (crédit : BitSight)
6 millions de domaines et sites malveillants court-circuités
Grâce à une décision de justice rendue par la Cour du District Est de New-York, Microsoft a été autorisé le 5 mars 2020 à prendre le contrôle de l'infrastructure américaine de Necurs utilisée pour distribuer des logiciels malveillants et infecter les ordinateurs de leurs victimes. D'après l'équipe Digital Crimes Unit de l'éditeur à la manoeuvre dans cette opération, Necurs aurait été en mesure de créer d'ici les deux prochaines années plus de 6 millions de domaines et sites au niveau mondial utilisés pour ses activités malveillantes.