Trickbot malware netwerk door Microsoft verstoord

Wat u moet weten

Het Trickbot-botnet

Trickbot heeft sinds eind 2016 meer dan een miljoen computerapparatuur over de hele wereld geïnfecteerd. Hoewel de exacte identiteit van de operators onbekend is, suggereert onderzoek dat ze zowel natiestaten als criminele netwerken dienen voor verschillende doeleinden.

Trickbot is een van de recentere banktrojanen, met veel van de originele kenmerken die zijn geïnspireerd door Dyreza, een andere banktrojan. Naast het richten op een breed scala aan internationale banken via zijn webinjects, kan Trickbot ook stelen van Bitcoin-portefeuilles.

Enkele van de andere mogelijkheden zijn het verzamelen van e-mails en inloggegevens met behulp van de Mimikatz-tool. De auteurs laten ook zien dat ze constant nieuwe functies en ontwikkelingen kunnen gebruiken.

Trojan.TrickBot wordt geleverd in modules die vergezeld gaan van een configuratiebestand. Elke module heeft een specifieke taak, zoals persistentie verkrijgen, doorgeven, inloggegevens stelen, codering, enzovoort. De C & C’s  zijn opgezet op gehackte draadloze routers.

Tijdens het onderzoek van Microsoft naar Trickbot hebben we ongeveer 61.000 voorbeelden van Trickbot-malware geanalyseerd. Wat het zo gevaarlijk maakt, is dat het modulaire mogelijkheden heeft die voortdurend evolueren en slachtoffers infecteren voor de doeleinden van de operators via een “malware-as-a-service” -model. De operators zouden hun klanten toegang kunnen geven tot geïnfecteerde machines en hen een afleveringsmechanisme kunnen bieden voor vele vormen van malware, waaronder ransomware. Naast het infecteren van computers van eindgebruikers, heeft Trickbot ook een aantal “Internet of Things” -apparaten, zoals routers, geïnfecteerd, waardoor het bereik van Trickbot is uitgebreid naar huishoudens en organisaties.

Naast het onderhouden van modulaire mogelijkheden voor een verscheidenheid aan einddoeleinden, hebben de operators bewezen bedreven te zijn in het veranderen van technieken op basis van ontwikkelingen in de samenleving. De spam- en spearphishing-campagnes van Trickbot die worden gebruikt om malware te verspreiden, bevatten onderwerpen als Black Lives Matter en COVID-19, waardoor mensen worden verleid om op kwaadaardige documenten of links te klikken. Op basis van de gegevens die we zien via Microsoft Office 365 Advanced Threat Detection, is Trickbot de meest productieve malwareprocedure met kunstaas met COVID-19-thema.

Microsoft heeft vandaag actie ondernomen nadat de Amerikaanse rechtbank voor het oostelijk district van Virginia haar verzoek om een ​​gerechtelijk bevel om de activiteiten van Trickbot te stoppen, had ingewilligd.

Bron: Microsoft

Tijdens het onderzoek dat tegen Trickbot ten grondslag lag, was Microsoft in staat om operationele details te identificeren, waaronder de infrastructuur die Trickbot gebruikte om te communiceren met en controle over de computers van slachtoffers, de manier waarop geïnfecteerde computers met elkaar kunnen praten, de mechanismen van Trickbot om detectie te omzeilen en pogingen om de werking ervan te verstoren. Toen ze bij Microsoft zagen dat de geïnfecteerde computers verbinding maakten met en instructies kregen van command and control-servers, konden ze de precieze IP-adressen van die servers identificeren. Met dit bewijs gaf de rechtbank toestemming aan Microsoft en hun partners om de IP-adressen uit te schakelen, de inhoud die op de command and control-servers is opgeslagen ontoegankelijk te maken, alle services voor de botnet beheerders op te schorten en elke poging van de Trickbot beheerders om te kopen of extra servers leasen te stoppen.

Door deze actie uit te voeren, heeft Microsoft een internationale groep van industrie- en telecommunicatieproviders gevormd. De Digital Crimes Unit (DCU) van Microsoft leidde de onderzoeksinspanningen, waaronder detectie, analyse, telemetrie en reverse engineering, met aanvullende gegevens en inzichten om hun rechtszaak te versterken vanuit een wereldwijd netwerk van partners, waaronder  FS-ISAC ,  ESET ,  Lumen’s Black Lotus Labs ,  NTT  en  Symantec, een divisie van Broadcom , naast ons  Microsoft Defender team. Verdere maatregelen om slachtoffers te herstellen zullen worden ondersteund door internetproviders (ISP’s) en computer Emergency Readiness Teams (CERT) over de hele wereld.

Bron: Microsoft

Tijdens deze actie vertegenwoordigt ook een nieuwe juridische benadering die de DCU voor het eerst gebruikt. De zaak omvat volgens Microsoft “auteursrechtclaims tegen kwaadwillig gebruik van onze softwarecode door Trickbot.” Deze aanpak is een belangrijke ontwikkeling in de inspanningen die Microsoft doet om de verspreiding van malware te stoppen, waardoor ze civiele maatregelen kunnen nemen om klanten te beschermen in het grote aantal landen over de hele wereld waar deze wetten van kracht zijn.

Microsoft en hun partners anticiperen er volledig op dat de beheerders van Trickbot zich zullen inspannen om hun activiteiten nieuw leven in te blazen, we zullen samen met onze partners werken om hun activiteiten te volgen en aanvullende juridische en technische stappen te nemen om ze te stoppen.

Naast de bedreiging voor verkiezingen staat Trickbot erom bekend malware te gebruiken om websites voor internetbankieren te bereiken en geld te stelen van mensen en financiële instellingen. Financiële instellingen, variërend van wereldwijde banken en betalingsverwerkers tot regionale kredietverenigingen, zijn het doelwit van Trickbot.

Het is ook bekend dat Trickbot ook de makers zijn van de Ryuk crypto-ransomware en deze levert en gebruikt bij aanvallen op een breed scala aan openbare en particuliere instellingen. Ransomware kan verwoestende gevolgen hebben. Onlangs heeft het het IT-netwerk van een Duits ziekenhuis lamgelegd, met als gevolg de dood van een vrouw die een spoedbehandeling zocht. Ryuk is een geavanceerde crypto-ransomware omdat het netwerkbestanden identificeert en versleutelt en Windows Systeemherstel uitschakelt om te voorkomen dat mensen kunnen herstellen van de aanval zonder externe back-ups. Ryuk heeft organisaties aangevallen, waaronder gemeentebesturen, staatsrechtbanken, ziekenhuizen, verpleeghuizen, bedrijven en grote universiteiten. Ryuk is bijvoorbeeld toegeschreven aan aanvallen gericht op een aannemer van het ministerie van Defensie, de stad Durham in North Carolina, een IT-provider voor 110 verpleeghuizen,

Type en bron van infectie

Trojan.TrickBot richt zich op het stelen van bankgegevens.

TrickBot verspreidt zich doorgaans via kwaadaardige spamcampagnes. Het kan zich ook lateraal verspreiden met behulp van de EternalBlue-exploit (MS17-010) uitbraak in mei 2017.

Andere verspreidingsmethoden zijn onder meer geïnfecteerde bijlagen en ingesloten URL’s. Trojan.TrickBot wordt ook gezien als een secundaire infectie die door Trojan.Emotet wordt gedropt; dit wordt gedaan door middel van een Word of ander Office document.

 
De malware, ook wel bekend als Geodo en 
Mealybug, werd voor het eerst ontdekt in 2014

Nasleep

Vanwege de manier waarop Trickbot de EternalBlue kwetsbaarheid gebruikt om zich via het netwerk van een bedrijf te verspreiden, zal elke geïnfecteerde machine op het netwerk machines opnieuw infecteren die eerder zijn schoongemaakt wanneer ze weer op het netwerk komen. Daarom moeten IT teams elk geïnfecteerd systeem één voor één isoleren, patchen en herstellen. Dit is een lang en moeizaam proces.

Microsoft Defender meldt ten onrechte dat u geïnfecteerd bent als u Microsoft-telemetrie en advertenties probeert te blokkeren

Wat u moet weten

SettingsModifier: Win32 / HostsFileHijack

Deze detectie signaleert verdachte wijzigingen aan het Windows- hosts- bestand, met name vermeldingen voor bepaalde domeinen die worden gebruikt door het besturingssysteem en kritieke services. Windows gebruikt de hosts- bestanden om domeinen naar IP-adressen om te zetten tijdens netwerkcommunicatie, zodat kwaadwillende wijzigingen legitieme netwerkverbindingen kunnen voorkomen, zoals updates en certificaatcontroles, of kunnen resulteren in onveilige en mogelijk schadelijke verbindingen.

Het knoeien met hostbestanden is een veelgebruikte techniek voor malware of aanvallers die wordt gebruikt om netwerkverbindingen te voorkomen of om te leiden. Een aanvaller kan het bestand wijzigen om legitieme verbindingen te blokkeren of netwerkverkeer om te leiden naar een bestemming die wordt beheerd door de aanvaller, wat resulteert in het downloaden van extra malware of andere kwaadaardige activiteiten.

Bedreigingsgedrag

Deze activiteit resulteert in de wijziging of toevoeging van vermeldingen in het Windows Hosts- bestand, specifiek voor belangrijke domeinen die worden gebruikt door het besturingssysteem en kritieke services. Dit kan duiden op een poging om legitieme netwerkverbindingen te blokkeren of verbindingen om te leiden naar de infrastructuur van de aanvaller en om malware te downloaden of andere kwaadaardige activiteiten uit te voeren.

Het Windows hosts- bestand bevindt zich op % windir% \ system32 \ drivers \ etc \ hosts.

Het zelf bewerken van uw host bestand is een manier om Microsoft-telemetrie en door Microsoft geleverde advertenties op Windows te blokkeren, en het blijkt dat Microsoft er niet zo blij mee is.

De nieuwste versies van Microsoft Defender voor Windows 10 kunnen detecteren of u vermeldingen toevoegt aan uw host bestand waardoor de servers van Microsoft zouden worden geblokkeerd en u zou weigeren het bestand op te slaan, omdat het een ernstig beveiligingsrisico vormt.

In feite zal Microsoft Defender beweren dat u besmet bent met “SettingsModifier: Win32 / HostsFileHijack,” waarvan een Google-zoekopdracht onthult dat verschillende gebruikers in paniek zijn geraakt en denken dat ze een virus hebben.

Ik heb geen Malwarebytes geïnstalleerd, alleen Windows Security Defender klaagt over SettingsModifier: Win32 / HostsFileHijack. Ik weet ook niet of het gerelateerd is of niet, maar ik kreeg de pop-up direct na het starten van het spel SUPERHOT MIND CONTROL DELETE. Ik weet eigenlijk wat het HOST-bestand is (een hoop DNS-naar-IP-forwarding), dus ik was benieuwd hoe de infectie het veranderde, wat me informatie kon geven over wat er mis is. Dus ik “stond” de dreiging toe via Windows Defender en vreemd genoeg bleef het bestand hetzelfde (met alleen de standaard 127.0.0.1 en :: 1 voor localhost-regels). Ik vroeg het toen om de dreiging opnieuw te “opschonen”, en de inhoud van het HOST-bestand veranderde nooit.

Nu Microsoft Defender zich steeds dieper in Windows verweven heeft, doet het ons denken aan de vraag wie de pc die u gebruikt daadwerkelijk bestuurt (?).

Einde ondersteuning Adobe Flash door Microsoft in december 2020

In juli 2017 kondigde Microsoft, samen met Adobe en hun industriële technologiepartners aan dat Adobe Flash Player na december 2020 niet langer ondersteund zal worden. De beslissing om de ondersteuning voor Flash Player te beëindigen werd genomen door Adobe vanwege het verminderde gebruik van de technologie en de beschikbaarheid van betere, veiligere opties zoals HTML 5, WebGL en WebAssembly.

In overeenstemming met dit plan beëindigt Microsoft de ondersteuning voor Adobe Flash Player op Microsoft Edge (zowel de nieuwe Microsoft Edge als Microsoft Edge Legacy) en Internet Explorer 11 eind 2020. n de nieuwe Microsoft Edge wordt Adobe Flash Player per januari 2021 verwijderd. Het schema met wijzigingen is hieronder beschikbaar .

VeranderingExperimenterenExtra informatie
Cookies zijn standaard ingesteld op 
SameSite=Laxen
SameSite=None-requires-Secure
Canarische v82, Dev v82Deze verandering vindt plaats in het Chromium-project, waarop Microsoft Edge is gebaseerd. 
Raadpleeg het 
item Chrome Platform Status voor meer informatie, inclusief de geplande tijdlijn van Google voor deze wijziging.
Verwijzingsbeleid: standaard naar 
strict-origin-when-cross-origin
Canary v79, Dev v79Deze verandering vindt plaats in het Chromium-project, waarop Microsoft Edge is gebaseerd. 
Raadpleeg het 
item Chrome Platform Status voor meer informatie, inclusief de geplande tijdlijn van Google voor deze wijziging.
Synchrone XmlHttpRequest niet toestaan bij het afwijzen van pagina’sDeze verandering vindt plaats in het Chromium-project, waarop Microsoft Edge is gebaseerd. 
Passend bij Chrome, biedt Microsoft Edge een groepsbeleid om deze wijziging uit te schakelen tot Edge v88. 
Raadpleeg het 
item Chrome Platform Status voor meer informatie, inclusief de geplande tijdlijn van Google voor deze wijziging.
Geef een subtiele prompt weer voor verzoeken om toestemming voor meldingen.Stille meldingsverzoeken geven een subtiel verzoekpictogram weer in de adresbalk voor toestemmingen voor sitemelding die worden aangevraagd met de 
NotificationsofPushAPI, ter vervanging van de volledige of standaard gebruikersinterface voor flyout-prompts. 
Deze functie is momenteel ingeschakeld voor alle gebruikers. Ga naar om u af te melden voor verzoeken om stille Meldingen
 edge://settings/content/notifications
In de toekomst kan het Microsoft Edge-team onderzoeken of de volledige flyout-meldings-prompt in sommige scenario’s opnieuw wordt ingeschakeld.
Schakel TLS / 1.0 en TLS / 1.1 standaard uitOm getroffen sites te helpen ontdekken, kunt u de 
edge://flags/#display-legacy-tls-warningsflag zo instellen dat Microsoft Edge een niet-blokkerende melding “Niet beveiligd” weergeeft bij het laden van pagina’s die verouderde TLS-protocollen vereisen. 
Het SSLMinVersion -groepsbeleid staat het opnieuw inschakelen van TLS / 1.0 en TLS / 1.1 toe; 
de polis blijft beschikbaar tot Edge 88.
Blokkeer downloads van gemengde inhoud.Deze verandering vindt plaats in het Chromium-project, waarop Microsoft Edge is gebaseerd. 
Raadpleeg het blogbericht over Google-beveiliging voor meer informatie, inclusief de geplande tijdlijn van Google voor deze wijziging. Het Microsoft-implementatieschema voor bestandstypen die moeten worden gewaarschuwd of geblokkeerd, is gepland voor één release na Chrome.
Verouder App-cacheDeze verandering vindt plaats in het Chromium-project, waarop Microsoft Edge is gebaseerd. 
Raadpleeg de WebDev-documentatie voor meer informatie. 
Het uitrolschema van Microsoft voor beëindiging is gepland voor één release na Chrome. Door een AppCache OriginTrial-token aan te vragen, kunnen sites de verouderde API blijven gebruiken tot Edge v90.
Verwijdering van Adobe FlashDeze verandering vindt plaats in het Chromium-project, waarop Microsoft Edge is gebaseerd. 
Raadpleeg de 
Adobe Flash Chromium Roadmap voor meer informatie.
Bron: Microsoft.com

Na december 2020 ontvang je geen “Beveiligingsupdate voor Adobe Flash Player” meer van Microsoft die van toepassing is op Microsoft Edge Legacy en Internet Explorer 11. Vanaf januari 2021 wordt Adobe Flash Player standaard uitgeschakeld en worden alle versies ouder dan KB4561600 uitgebracht. in juni 2020 wordt geblokkeerd. Downloadbare bronnen met betrekking tot Adobe Flash Player die worden gehost op Microsoft-websites, zijn niet langer beschikbaar.

Einde van ondersteuning door Microsoft in december 2020

Een update met de titel “Update voor verwijdering van Adobe Flash Player” zal beschikbaar worden gesteld via Microsoft Update Catalog, Windows Update en WSUS die Adobe Flash Player permanent verwijdert als onderdeel van de Windows OS-apparaten. Als u Adobe Flash Player van uw systemen wilt verwijderen voordat de ondersteuning wordt beëindigd, kan dit in de herfst van 2020 worden gedownload via de Microsoft Update-catalogus. De update wordt begin 2021 optioneel gemaakt op Windows Update en WSUS en wordt een paar maanden later aanbevolen. Houd er rekening mee dat deze update permanent is en niet kan worden verwijderd.

In de zomer van 2021 worden alle API’s, groepsbeleid en gebruikersinterfaces die specifiek het gedrag van Adobe Flash Player bepalen, verwijderd uit Microsoft Edge (legacy) en Internet Explorer 11 via de laatste “Cumulatieve Update” op Windows 10-platforms en via ” Cumulatieve update voor Internet Explorer 11 ”of“ Maandelijks updatepakket ”op Windows 8.1, Windows Server 2012 en Windows Embedded 8 Standard. Ook zal de “Update voor verwijdering van Adobe Flash Player” worden opgenomen als onderdeel van de “Cumulatieve update” en “Maandelijks updatepakket” vanaf dit punt. Als u met Adobe samenwerkt voor voortdurende ondersteuning, zou u niet mogen worden beïnvloed door deze wijzigingen.

Microsoft zal beveiligingsupdates blijven leveren voor Adobe Flash Player en de compatibiliteit van het besturingssysteem en de browser behouden tot eind 2020. Als u overstapt van Adobe Flash Player, raden we u aan om uw systemen te blijven upgraden met de nieuwste beveiligingsupdates, terwijl dit nog steeds in ondersteuning is. 

Aanhouding verdachte voor DDoS-aanval op MijnOverheid.nl

Op vrijdag 10 april 2020 heeft de politie een 19-jarige man uit Breda aangehouden die wordt verdacht de websites MijnOverheid.nl en Overheid.nl plat te hebben gelegd door het uitvoeren van DDoS-aanvallen. Deze aanvallen werden uitgevoerd op 19 maart. Voornoemde sites waren daardoor enige tijd uit de lucht. Overheid.nl werd en wordt in verband met de coronacrisis veel bezocht. Het beschikbaar zijn van deze site voor burgers is van cruciaal belang voor het land, zeker in deze tijden.

“Een DDoS-aanval uitvoeren is strafbaar. We doen dan ook altijd aangifte van een aanval. En in goede samenwerking met het cybercrimeteam heeft dat geleid tot een snelle aanhouding,”

aldus Logius (de beheerorganisatie). Het onderzoek werd uitgevoerd door het cybercrimeteam van de politie Midden-Nederland dat gespecialiseerd is in onderzoeken naar en de bestrijding van DDoS-aanvallen. Het onderzoek stond onder leiding van een officier van justitie uit Den Haag. Die zal later in het Paasweekeinde beslissen of de verdachte wordt voorgeleid aan de rechter-commissaris, in Den Haag. 

Op 19 maart waren de twee sites enkele uren onbereikbaar. Bij een DDoS-aanval worden servers van een website bestookt met dataverkeer. Hierdoor kunnen de servers bezwijken. Bezoekers kunnen de website dan (nagenoeg) niet meer bereiken. Zeker in deze tijden waar veel noodverordeningen en andere spoedregelgeving via deze site wordt ontsloten. De aangehouden man wordt er formeel van verdacht vitale berichtgeving waardoor de veiligheid wordt belemmerd, in gevaar te hebben gebracht.

MijnOverheid is een soort digitale brievenbus waar burgers post krijgen van de overheid, bijvoorbeeld over hun belastingaangifte of kinderbijslag. Ook treffen ze hier persoonlijke informatie, zoals de inschrijving bij de gemeente of de datum van APK. 

“Door een website als deze plat te leggen, ontneem je burgers toegang tot hun persoonlijke gegevens en belangrijke overheidsinformatie. Zeker nu de coronacrisis bij veel mensen voor extra onzekerheid en een grote informatiebehoefte zorgt, nemen we dit hoog op. We willen mensen en bedrijven beschermen en het cybercriminelen steeds moeilijker maken om een DDoS-aanval uit te kunnen voeren”,

aldus Jeroen Niessen hoofd van het cybercrimeteam van de politie Midden-Nederland.

Schematische uitleg Ddos aanval

De afgelopen week legde de politie Midden-Nederland ook nog 15 zogenoemde booters stil. Het inkopen van DDoS-aanvallen bij zogenaamde booters is een veelgebruikte manier om DDoS-aanvallen te veroorzaken. Booters zijn een vorm van online-dienstverlening waarbij klanten gebruik kunnen maken van een infrastructuur van (veelal) gehackte computers om een doelwit aan te vallen. In de meeste gevallen is het aanbieden en gebruiken van booters dan ook strafbaar. “Veel gebruikers realiseren zich dit niet. Veel DDoS-aanvallen worden gepleegd door jongeren. Voor de kick, uit verveling of als uitdaging; om te zien of het lukt om een doelwit neer te halen. Daders onderschatten de gevolgen van deze aanvallen voor slachtoffers. Ze realiseren zich bovendien niet dat de politie ze weet te vinden en hen een straf en flinke schadeclaim boven het hoofd hangt.” 

Voorbeeld van een Booter webpagina

Bescherm uw zelf tegen een Ddos-aanval

  • Cybercriminelen kunnen DDoS-aanvallen gebruiken als afleiding om uw gegevens afhandig te maken via nep-mails (phishing), of om u af te persen. Ga hier niet op in.
  • Zorg dat de beveiliging van uw computer op orde is. Maak bijvoorbeeld gebruik van sterke wachtwoorden/wachtzinnen en virusscanners. Zo voorkomt u zoveel mogelijk dat uw computer onderdeel wordt van een botnet waarmee aanvallen kunnen worden uitgevoerd.
  • Maak regelmatig offline back-ups van waardevolle bestanden die u online heeft staan. Zo houdt u toegang tot deze data als er een aanval plaatsvindt.

Bron: Politie

Microsoft verstoord grootste Bot netwerk ter wereld

Microsoft is deze week begonnen met het verstoren van een groot botnet genaamd Necurs, die heeft besmet meer dan negen miljoen computers wereldwijd. Deze verstoring is het resultaat van acht jaar van tracking en planning en zal helpen ervoor te zorgen dat de criminelen achter dit netwerk niet langer in staat zijn om belangrijke elementen van de infrastructuur te gebruiken om cyberaanvallen uit te voeren.

Een botnet is een netwerk van computers die een cybercrimineel heeft besmet met kwaadaardige software, of malware. Eenmaal besmet, kunnen criminelen computers op afstand controleren en ze gebruiken om misdaden te plegen. Microsoft’s Digital Crimes Unit, BitSight en anderen in de security community hebben de Necurs botnet voor het eerst waargenomen in 2012 en hebben gezien hoe het botnet verschillende vormen van malware wist te distribueren, waaronder de GameOver Zeus banking trojan.

De Necurs botnet is een van de grootste netwerken in de spam e-mail bedreigingen ecosysteem, met slachtoffers in bijna elk land van de wereld. Tijdens een periode van 58 dagen in het onderzoek, merkten onderzoekers op dat een Necurs-geïnfecteerde computer een totaal van 3,8 miljoen spam e-mails stuurde naar meer dan 40,6 miljoen potentiële slachtoffers.

Necurs wordt verondersteld te worden geëxploiteerd door criminelen; gevestigd in Rusland en is ook gebruikt wordt voor een breed scala van misdaden, waaronder pomp-en-dump voorraad oplichting, nep farmaceutische spam e-mail en “Russische dating” oplichting. Het is ook gebruikt om andere computers op het internet aan te vallen, referenties voor online accounts te stelen en persoonlijke gegevens en vertrouwelijke gegevens van mensen te stelen. Interessant is, dat het erop lijkt dat de criminelen achter Necurs verkopen of toegang verhuren tot de geïnfecteerde computers aan andere cybercriminelen als onderdeel van een botnet-for-hire service.

Necurs is ook bekend voor het distribueren van financieel gerichte malware en ransomware, cryptomining, het heeft zelfs een DDoS (distributed denial of service) mogelijkheid die nog niet is geactiveerd, maar kan worden op elk moment.

Op donderdag 5 maart, heeft de rechtbank voor het Oostelijke District van New York een bevel uitgereikt waarmee Microsoft de controle over de VS gevestigde infrastructuur van het Necurs botnet, gebruikt om malware te verspreiden en het infecteren van andere computers. Met deze juridische actie en door middel van een gezamenlijke inspanning met publiek-private partnerschappen over de hele wereld, Microsoft heeft de activiteiten van de criminelen achter Necurs stil gelegd en voorkomt daarmee dat er meer computers registreren op nieuwe domeinen om aanvallen mee uit te voeren in de toekomst.

Dit werd bereikt door het analyseren van een techniek die door Necurs wordt gebruikt om systematisch nieuwe domeinen te genereren door middel van een algoritme. Microsoft was toen in staat om nauwkeurig te voorspellen hoe meer dan zes miljoen unieke domeinen zouden worden gemaakt in de komende 25 maanden. Microsoft rapporteerde deze domeinen aan hun respectievelijke registers in landen over de hele wereld zodat de websites konden worden geblokkeerd en zo werd verhinderd dat een deel van de infrastructuur van Necurs kon worden uitgerold. Door de controle over bestaande websites te nemen en de mogelijkheid om nieuwe te registreren is het botnet afgeremd en hebben ze het botnet aanzienlijk verstoord.

Bron: Microsoft

Pin It on Pinterest