เรื่องราวของปฏิบัติการอาชญากรรมทางไซเบอร์ที่ดำเนินการโดย Microsoft และพันธมิตรใน 35 ประเทศ
ในการทำให้ทุกอย่างเข้าถึงได้ อินเทอร์เน็ตเชื่อมต่อคอมพิวเตอร์เป็นพันหรือหลายล้านเครื่อง แน่นอนว่านี่เป็นสิ่งที่ดี แต่เมื่อกิจกรรมทางอาญาเติบโตเพราะเหตุนี้ สิ่งต่างๆ จะเลวร้ายลง
Botnet เป็นตัวอย่างหนึ่ง เป็นเครือข่ายของคอมพิวเตอร์ที่ติดไวรัสที่สามารถแพร่เชื้อไปยังเครื่องอื่นและแพร่มัลแวร์หรือซอฟต์แวร์ที่เป็นอันตราย เมื่อเครื่องติดไวรัส อาชญากรไซเบอร์สามารถควบคุมเครื่องจากระยะไกลเพื่อแพร่เชื้อ
ที่อันตรายที่สุดคือ Necurs – บ็อตเน็ตที่มีเครือข่ายที่ใหญ่ที่สุดในระบบนิเวศอีเมลสแปมที่มีเหยื่ออยู่ในทุกประเทศ
เมื่อทราบสิ่งนี้ Microsoft และพันธมิตรได้ลบล้าง Necurs และด้วยเหตุนี้จึงกลายเป็นความก้าวหน้าครั้งใหญ่ที่สุดในโลกในการต่อสู้กับแฮ็กเกอร์
มัลแวร์ Necurs Botnet คืออะไร
Necurs botnet ตรวจพบในปี 2555 และเชื่อว่าเป็นผู้รับผิดชอบ 90% ของมัลแวร์ที่แพร่กระจายทางอีเมลระหว่างปี 2559-2562 ดำเนินการจากรัสเซีย เป็นที่รู้จักในด้านการจัดจำหน่าย GameOver โดย Trickbot ส่วนใหญ่เป็น Locky ransomware
ใช้เป็นสแปมบอท มัลแวร์นี้แพร่กระจายผ่านไฟล์แนบอีเมลหรือแอดแวร์ เมื่ออยู่ในระบบแล้ว Necurs จะใช้รูทคิทในโหมดเคอร์เนลเพื่อซ่อนและปิดใช้งานแอปพลิเคชันความปลอดภัย เช่น Windows Firewall เป็นต้น ซึ่งแตกต่างจากบ็อตเน็ตส่วนใหญ่ตรงที่ Necurs มีลักษณะเป็นโมดูลาร์ และช่วยให้ผู้ปฏิบัติงานเปลี่ยนวิธีการทำงานของมันเมื่อเวลาผ่านไป
สิ่งที่ Microsoft และบริษัทอื่นๆ ไขว่คว้าเพื่อทำให้สำเร็จ
ผู้สร้างระบบปฏิบัติการพร้อมกับพันธมิตรใน 35 ประเทศ – ซัพพลายเออร์บริการเว็บ หน่วยงาน CERT บริษัทรักษาความปลอดภัยทางไซเบอร์ ฯลฯ ผ่านขั้นตอนทางกฎหมายและทางเทคนิค ประสานงานในการลบ Necurs
ขั้นตอนทางกฎหมายครอบคลุมถึงการอนุญาตจากศาลแขวงสหรัฐในการควบคุมโครงสร้างพื้นฐานของ Necurs ที่ใช้ในการเผยแพร่มัลแวร์ที่อาจแพร่ระบาดในโดเมนที่ไม่ซ้ำกันกว่า 6 ล้านโดเมนใน 25 เดือนข้างหน้า ซึ่งคาดการณ์โดย Microsoft
ไม่เพียงแค่นี้ แต่บริษัทยังทำงานร่วมกับบริการตรวจสอบเว็บ BitSight ผู้ให้บริการอินเทอร์เน็ต ทีมฉุกเฉินคอมพิวเตอร์เพื่อขัดขวาง ทั้งหมดนี้เป็นผลมาจากความพยายามแปดปีในการติดตามการพัฒนาของ Necurs
ในการตรวจสอบระยะเวลา 58 วัน Microsoft สังเกตว่าระบบที่ติดไวรัส Necurs สามารถส่งอีเมลขยะจำนวนรวม 3.8 ล้านฉบับไปยังผู้ที่ตกเป็นเหยื่อกว่า 40.6 ล้านราย สิ่งนี้ทำให้การกำจัดบอตเน็ตนี้เป็นสิ่งจำเป็น
เพื่อให้สิ่งต่างๆ เข้าที่ Microsoft ได้ทำลายเทคโนโลยีการสร้างโดเมน (DGA) ของ Necurs เพื่อลงทะเบียนโดเมนใหม่และดำเนินการโจมตี
DGA คืออะไร
โดยพื้นฐานแล้วมันเป็นดาบสองคม ซึ่งเป็นเทคนิคที่สร้างชื่อโดเมนแบบสุ่มในช่วงเวลาปกติ ช่วยให้ผู้เขียนมัลแวร์เปลี่ยนตำแหน่งของเซิร์ฟเวอร์ C&C ได้ไม่รู้จบ และรักษาการสื่อสารดิจิทัลกับเครื่องที่ติดไวรัสได้อย่างต่อเนื่อง
Microsoft ได้รายงานชื่อโดเมนเหล่านี้ไปยังสำนักทะเบียนทั่วโลก และบล็อกโดเมนไม่ให้เป็นส่วนหนึ่งของโครงสร้างพื้นฐานของ Necurs
เครือข่ายของ Necurs ใหญ่แค่ไหน
ด้วยเครือข่ายคอมพิวเตอร์กว่า 9 ล้านเครื่อง บ็อตเน็ตสามารถทำการโจมตีด้วยสแปมต่างๆ เช่น การหลอกลวงทางเภสัชกรรม การหลอกลวงเกี่ยวกับหุ้น และการหลอกลวงหาคู่ของรัสเซีย นอกจากนี้ ยังสามารถเปิดการโจมตี DDoS และฟังก์ชันขั้นสูงที่ช่วยหลบเลี่ยงกลไกการรักษาความปลอดภัยที่อยู่ในองค์กร
ผู้โจมตีใช้เครือข่ายบอทนี้เพื่อเผยแพร่มัลแวร์ เช่น GameOver Zeus Dridex, Locky, Trickbot) ส่งอีเมลสแปม การเข้ารหัสลับ การโจรกรรมข้อมูลส่วนตัว เรื่องรัก ๆ ใคร่ ๆ และการหลอกลวงทางการเงิน
เนเคอร์ตายแล้วหรือ หรือถูกแทนที่?
แน่นอนว่า Microsoft ขัดขวาง Necurs ซึ่งเป็นบอตเน็ตที่สามารถส่งอีเมลที่เป็นอันตรายได้โดยการทิ้งตัวกรองสแปม แต่นี่ไม่ได้หมายความว่าจะไม่มีการโจมตีเป้าหมายอีกต่อไป อาชญากรไซเบอร์กำลังเฝ้าดูมัลแวร์ Emotet และพิจารณาว่ามันมาแทนที่ Necurs
หากเป็นเช่นนั้น ระบบประมาณ 2 ล้านระบบจะติดไวรัสโดย Emotet ซึ่งเป็นมัลแวร์ที่ยังคงอยู่ในระบบที่ติดไวรัสซึ่งสามารถอ่านเนื้อหาอีเมลและแทรกตัวเข้าไปในการสนทนาที่กำลังดำเนินอยู่ระหว่างบุคคลที่เชื่อถือได้ภายในองค์กร
ซึ่งหมายถึงการโจมตีของโทรจันมากขึ้น วิธีเดียวที่จะป้องกันได้คือคอยตรวจสอบกิจกรรมทั้งหมดที่คุณทำทางออนไลน์ ด้วยสิ่งนี้ เราหวังว่าบริษัทต่างๆ นักวิจัยจะตามล่าหาผู้ติดเชื้อดังกล่าวมากขึ้นและกำจัดพวกมันเพื่อให้เราอยู่อย่างปลอดภัย
หากคุณคิดว่าเราสามารถทำอย่างอื่นได้ โปรดแบ่งปันความคิดของคุณและแจ้งให้เราทราบว่าสามารถทำอะไรได้บ้าง ความคิดและคำติชมของคุณมีค่า ดังนั้นโปรดแบ่งปัน
