Microsoft ha adottato misure più efficaci per eliminare Necurs, una gigantesca botnet che ha infettato oltre 9 milioni di computer in tutto il mondo. Il 5 marzo scorso la Corte Distrettuale di New York (Eastern District) ha consentito alla casa di Redmond di prendere il controllo dell'infrastruttura di Necurs situata negli Stati Uniti ed usata per distribuire i malware che infettano i computer delle vittime.

Si tratta di un passo avanti importante per neutralizzare del tutto la rete. La notizia arriva dopo un'attività di monitoraggio della rete illegale e di pianificazione degli interventi (legali e tecnici) necessari ad eliminarla che ha richiesto otto anni per essere portata a compimento, nell'ambito di un'azione che ha interessato 35 nazioni e che Microsoft ha compiuto in collaborazione con i partner.

Necurs, come altre botnet (si ricorda, ad esempio Kelihos, eliminata nel 2017), è formata da una rete di computer infettati con software malevolo per commettere reati informatici. Il primo avvistamento di Necurs risale al 2012, si ritiene che il gruppo criminale che l'ha creata e gestita operi dalla Russia, mentre è accertato che le azioni poste in essere tramite la botnet siano molto consistenti. Per avere un parametro di riferimento, basti pensare che in un periodo di 58 giorni un solo computer ''infettato'' da Necurs ha inviato 3,8 milioni di email di spam a oltre 40,6 milioni di potenziali vittime.

La botnet non è stata usata solo per l'invio di spam: secondo quanto riporta Microsoft, tra le condotte illecite rientrano anche tentativi di truffa informatica (scam) e attacchi ad altri computer per sottrarre dati di accesso ad account online, informazioni personali e dati riservati. I gestori di Necurs l'hanno utilizzata anche per fornire a terzi ''servizi illeciti" come malware finanziari, ransomware e cryptomining; la rete ha anche la capacità di compiere attacchi di tipo DDoS (Distribuited Denial of Service), ma per il momento non è stata mai attivata.

Il provvedimento legale che attribuisce a Microsoft il potere di controllare parte della rete di Necurs è molto importante perché in tal modo può impedire che i criminali registrino nuovi domini in vista della futura esecuzione di attacchi. La casa di Redmond sottolinea di aver analizzato la tecnica che Necurs utilizza sistematicamente per produrre nuovi domini: gli esperti di sicurezza di Microsoft sono stati in grado di prevedere gli oltre 6 milioni di domini unici che la botnet avrebbe creato nei prossimi 25 mesi, li ha segnalati ai gestori dei registri dei domini nelle varie nazioni, consentendogli di bloccarli. In sintesi, da un lato Microsoft ha preso il controllo dei siti web esistenti usati da Necurs, dall'altra gli sta impedendo di espandersi.

A queste misure si aggiungono le iniziative realizzate in collaborazione con gli ISP in tutto il mondo volte a rimuovere dai computer attaccati il malware tramite il quale entrano a far parte della botnet. Necurs non è stato del tutto sconfitto, ma si può dire che inizia a vacillare in maniera significativa.