Эксперты озадачены внезапным исчезновением одного из крупнейших ботнетов

Эксперты озадачены внезапным исчезновением одного из крупнейших ботнетов

Ботнет Necurs, распространявший Dridex и Locky, по непонятным причинам оказался отключен.

image

В течение нескольких лет один из крупнейших в мире ботнетов Necurs активно использовался различными киберпреступными группами для рассылки спама и распространения вредоносного ПО Dridex и Locky. Тем не менее, за последнее время по непонятным причинам генерируемый им трафик сократился практически до нуля, немало удивив ИБ-экспертов.

Почему снизился трафик, и вернется ли он к прежнему уровню, пока неизвестно. Первые признаки сбоя в работе ботнета появились в начале текущего месяца, когда в спам-фильтрах стало заметно уменьшаться количество вредоносных электронных писем, распространяющих Dridex и Locky. По данным экспертов Proofpoint, как правило, каждую неделю рассылаются миллионы подобных писем, однако на прошлой неделе их поток практически иссяк. Как показало исследование, распространявший их Necurs был почти полностью отключен.

Данный P2P-ботнет состоит из 6 млн скомпрометированных компьютеров, работающих под управлением Windows и зараженных руткитом Necurs. Как показал анализ некоторых входящих в ботнет компьютеров, его ключевые системы управления мистическим образом исчезли.

«Судя по полученным из различных источников данным, боты Necurs активно ищут новую командно-контрольную (C&C) систему. Однако свидетельств того, что операторам ботнета удалось вернуть себе контроль над ним, мы не обнаружили», - сообщили эксперты Proofpoint.        

Подписывайтесь на каналы "SecurityLab" в TelegramTelegram и TwitterTwitter, чтобы первыми узнавать о новостях и эксклюзивных материалах по информационной безопасности.