Der wesentliche Schlag gegen das Botnet Necurs ist dabei technischer Natur. Der Konzern konnte in Kooperation mit Sicherheitsexperten aus aller Welt den Algorithmus des Botnet knacken, mit dem Necurs laufend neue Domains generieren konnte. So gelang es Microsoft und seinen Partnern rund sechs Millionen Domains exakt vorherzusagen, die Necurs in den folgenden 25 Monaten generiert hätte.

Nachdem es gelungen war, den Algorithmus zu knacken, konnte Microsoft die zu generierenden Domains an die nationalen Registrierungsstellen melden. Die Registrare blockierten die Domains dann in ihren Systemen, so dass sie nicht Teil des Necurs-Botnet werden konnten. Zudem gelang es dem Konzern, ein US-Bezirksgericht zu einer gerichtlichen Anordnung zu veranlassen, die es Microsoft ermöglichte, die Kontrolle über die Infrastruktur zu übernehmen, soweit sie sich auf amerikanischem Boden befunden hatte.

Damit sei das Necurs-Botnet weitestgehend am Ende, wie Microsoft in seinem Sicherheits-Blog schreibt. Ein Zugriff durch die kriminellen Akteure sei, zumindest bezogen auf wichtige Schlüsselbereiche des Botnet, nicht mehr möglich.

Dem Erfolg gingen rund acht Jahre globale Ermittlungsarbeit voraus. Schon im Jahr 2010 fiel das Necurs-Botnet, das weltweit zuletzt mehr als neun Millionen infizierte Rechner umfasste, erstmals auf. Seit 2012 begann die Microsoft Digital Crimes Unit mit Unterstützung weiterer Partner mit der Beobachtung der Aktivitäten des Botnets. Dabei konnte festgestellt werden, dass und wie es Malware verbreitet hat.

Dabei blieb es nicht. Vielmehr wurde Necurs in der Folgezeit für die gesamte Palette der Botnet-Kriminalität genutzt. Darunter fand sich die Verbreitung von Trojanern und Aktienscams. Auch das klassische Versenden von Spam-E-Mails zu gefälschten Pharma-Produkten und russischen Datingangeboten gehörte zum Portfolio. Das Ausmaß zeigt Microsoft an einem Beispiel. So hatte ein einziger beobachteter, infizierter Computer innerhalb von 58 Tagen insgesamt 3,8 Mil­lio­nen Spam-E-Mails an über 40,6 Mil­lio­nen po­ten­zielle Opfer in aller Welt versendet.

Zusätzlich setzten die Kriminellen Necurs für das Krypto-Mining, die Verteilung von Ransomware und Finanzbetrügereien ein. Eine vorhandene Funktion für die Durchführung von DDOS-Attacken (Distributed Denial of Service), bei denen gezielt angegriffene Server überlastet und damit abgeschaltet werden sollen, war laut Microsoft vorhanden, aber noch nicht aktiviert worden. Ebenso sollen die Kriminellen den Zugriff auf ihr Botnet als Botnet-to-Hire vermietet haben. Damit konnten andere Cyberkriminelle die Kapazitäten des 9-Millionen-Geräte-Netzes nach Belieben für ihre Zwecke nutzen.

Microsoft vermutet die Betreiber des Necurs-Botnets in Russland. Dazu gibt es allerdings bislang keine weiteren Details.

Aktuell arbeitet der Konzern gemeinsam mit Internet-Service-Providern weltweit daran, den betroffenen Computer-Nutzern dabei zu helfen, das Botnet von ihren Geräten zu entfernen.

Solltet ihr befürchten, dass euer Windows-Computer von Malware befallen ist, empfiehlt Microsoft euch den Einsatz des Safety Scanners.