Botnet Necurs powrócił ze zdwojoną siłą

Firma Appriver zajmująca się analizą ruchu spamu poinformowała, że po prawie 3 tygodniach przerwy ponownie pojawiły się wiadomości, które były rozsyłane przez botnet Necurs. Aktywność wirusa na przestrzeni tych tygodni ograniczała się do wysłania kilku, do kilkunastu mln spamu poprzez wiadomości e-mail. Jednak 21 czerwca takich wiadomości pojawiło się ponad 80 mln, następnego dnia było to już 160 mln.

Według firmy analizującej zachowanie botnetu – nikt nie wie dlaczego nagle zaprzestał on swoich kampanii spamowych. Niestety oznacza to, że Necurs nie został jednak zlikwidowany. Istnieje kilka możliwości, dla których mogło dojść do takie sytuacji. Możliwe, że osoby odpowiedzialne za wysyłanie spamu napotkały jakąś usterkę techniczną, może została dodana jakaś nowa funkcjonalność, która spowodowała jeszcze lepszą penetrację sieci wiadomościami spam. - Zastanawiająca jest sytuacja, kiedy tak duży botnet znika na 3 tygodnie – napisał na firmowym blogu Jonathan French z Appriver.

– Próbka wirusa Locky, którą udało nam się wyodrębnić z wiadomości e-mail przesłanej po ożywieniu się Necursa jest nowszą wersją tego złośliwego oprogramowania. Ransomware Locky, którego badaliśmy, jest wyposażony w lepsze elementy maskujące go w zainfekowanej sieci, jest trudniejszy do wykrycia oraz jest odporny na większość popularnych metod sandboxingu – czytamy na blogu Kevina Epsteina z Proofpoint.

Metoda sandbox polega na wydzieleniu i odsepraowaniu pewnej części sieci albo urządzenia od kontaktu ze światem zewnętrznym. W tzw. piaskownicy można przetestować oraz sprawdzić jakie cechy posiadają niezaufane pliki. Jest to jedyna bezpieczna metoda na analizę niebezpiecznych wirusów.

O skończeniu kampanii spamujących za pomocą Necursa pisaliśmy w zeszłym tygodniu.