Necurs : le méga-botnet vit-il ses dernières heures ?

Necurs, hors d'état de nuire ? On n'en est plus très loin, d'après Microsoft.

La semaine dernière, un tribunal de New York a autorisé le groupe informatique à prendre le contrôle de l'infrastructure que ce botnet exploite aux États-Unis.

Cette action en appelle, dans le cadre d'une collaboration internationale officialisée ce 10 mars.

Au-delà de l'infrastructure existante, le principal enjeu consiste à empêcher Necurs d'enregistrer de nouveaux noms de domaines.

En décortiquant l'algorithme sur lequel le botnet d'appuie, Microsoft et consorts ont pu prédire quelque 6 millions de noms de domaines. Et les signaler par avance à leurs registres respectifs.

Les FAI sont sollicités en parallèle, pour aider à nettoyer les ordinateurs de leurs clients. Y compris en France, où le bilan avoisinerait les 100 000 victimes.

Actif depuis au moins 2012, Necurs est l'un des plus grands botnets de distribution de spam.

Vraisemblablement piloté depuis la Russie, il a servi à propager des logiciels malveillants parmi lesquels des chevaux de Troie bancaires (Dridex, Trickbot, GameOver Zeus...) et des rançongiciels (Scarab, Jaff, Santana, Locky...).

Il a favorisé bien d'autres larcins, dont du pump & dump (spam financier) et de l'exfiltration de données. Ses créateurs l'ont semble-t-il doté d'une capacité DDoS non encore enclenchée.