As autoridades conseguiram desmantelar a operação da Necurs e também obter controlo sobre a maioria da infraestrutura que geria a rede de bots. O malware Necurs conseguia manter-se resistente às investidas das forças de segurança e dos especialistas assentando num algoritmo de geração de domínios, algo que só agora foi possível desmantelar. A operação envolveu forças policiais e empresas tecnológicas de 35 países, entre as quais a Microsoft.
O algoritmo gerava domínios imprevisíveis e de forma regular que permitia aos hackers alterar a localização dos servidores de forma continuada e manter uma comunicação digital com as máquinas infetadas. Segundo a Microsoft, citada pelo The Hacker News, “conseguimos prever com exatidão mais de seis milhões de domínios únicos que seriam usados nos próximos 25 meses. Denunciamos estes domínios às entidades respetivas em vários países de todo o mundo para que os sites pudessem ser bloqueados e impedir que se tornassem parte da infraestrutura Necurs”.
A Necurs foi detetada pela primeira vez em 2012 e é considerada uma das redes mais prolíficas para espalhar spam e que infeta máquinas com malware destinado a roubar credenciais de sistemas bancários, de cryptojacking e de ransomware, além de enviar quantidades massivas de spam. A rede foi usada, por exemplo, para espalhar os malwares Dridex e Locky a um ritmo de cinco milhões de emails por hora.
Os criadores desta rede conseguiam evitar ser detetados e manter a persistência nas máquinas das vítimas ao empregar um rootkit que desabilitava várias funcionalidades de segurança, incluindo a firewall do Windows.
A empresa de Redmond conseguiu também mandatos judiciais para apreender parte da estrutura da rede de bots localizada nos EUA. Os investigadores da BitSight consideram que “de 2016 a 2019, foi o método mais proeminente para espalhar spam e malware criado por criminosos e responsável por 90% do malware enviado por email em todo o mundo”.
A Microsoft revela ainda que durante os 58 dias de investigação detetaram uma só máquina infetada pelo Necurs a enviar um total de 3,8 milhões de emails de spam a mais de 40 milhões de potenciais vítimas. Estas vítimas estavam localizadas maioritariamente na Índia, Indonésia, Turquia, Vietname, México, Tailândia, Irão, Filipinas e Brasil.