Microsoft kertoo kukistaneensa kumppaniensa kanssa rikollisten mittavan Necurs-bottiverkon. Oli jo aikakin, sillä ensimmäiset raportit sen toiminnasta ovat vuodelta 2012. Ainakin kertaalleen sen luultiin kadonneen, mutta ilo oli väliaikainen.

Vuonna 2016 Necursin todettiin olevan keskeinen roskapostin ja haittaohjelmien levittäjä. Nyt mainitaan myös muun muassa sen rooli uhrien tietojen varastamisessa.

Microsoftilla tietoturvasta vastaava Tom Burt sanoo yhtiön blogissa, että operaatiota valmisteltiin ja suunniteltiin kahdeksan vuotta. Koordinoitu isku toteutettiin 35 maassa. ”Näin varmistetaan, että verkon takana olevan rikolliset eivät voi enää käyttää tärkeää työkaluaan kyberhyökkäyksiin.”

Burt kertoo esimerkkejä rikollisten toiminnasta. Yksi ainoa Necurs-verkkoon kaapattu tietokone lähetti kahdessa kuukaudessa lähes neljä miljoonaa roskapostia. Bottiverkkoa on käytetty lisäksi osakehuijauksiin, tietovarkauksiin, haittaohjelmien levittämiseen, kryptovaluuttojen louhimiseen ja palvelunestohyökkäyksiin. Isännät ovat myös vuokranneet verkkoaan muille rikollisille.

Microsoftin käsityksen mukaan Necurs oli venäläisten rikollisten hallussa.

Mielenkiintoinen piirre Necursin kaato-operaatiossa oli temppu, jolla haitataan rikollisten jatkotoimia merkittävästi. Nämä käyttivät puuhissaan lukuisia tarkoitusta varten luotuja verkkosivuja. Necurs loi automaattisesti domaineja näitä varten.

”Analysoimme tekniikan, joilla osoitteita luotiin, ja kykenimme ennustamaan yli kuusi miljoonaa domainia, jotka olisi luotu kahden seuraavan vuoden aikana”, Burt kirjoittaa.

Microsoft ilmoitti domainit eri puolilla maailmaa verkko-osoitteita rekisteröiville tahoille, joten niistä ei ole rikollisille iloa. ”Ottamalla haltuun nyt rikollisten käytössä olevat verkkosivut ja estämällä uusien luomisen aiheutamme vakavaa haittaa toiminnalle”, Tom Burt uskoo.