В начале июня 2016 года специалисты ряда ИБ-компаний обратили внимание на значительное снижение темпов распространения малвари Dridex и Locky. Оказалось, что это следствие ухода в оффлайн инфраструктуры одного из крупнейших ботнетов наших дней — Necurs, который по разным данным насчитывает 5-6 млн зараженных устройств. Теперь эксперты сообщают, что Necurs вернулся в строй и возобновил вредоносную деятельность.

necurs-botnet-comes-back-to-life-after-three-weeks-hiatus-505510-3
Возвращение вредоносного спама

Исследователи компаний MalwareTech и AppRiver заметили возвращение Necurs первыми. Ботнет «ожил» в минувшие выходные: операторы запустили новые управляющие серверы, с которыми тут же принялись массово соединяться боты.

«Тот факт, что боты не прекращали опрашивать DGA до тех пор, пока C&C сервер не прислал им ответ с цифровой подписью, говорит о том, что операторы ботнета по-прежнему полностью контролируют свою сеть, или же кто-то другой сумел заполучить секретный ключ», — пишут исследователи MalwareTech.

Necurs уже возобновил распространение вымогателя Locky и по-прежнему работает с теми же версиями шифровальщика, которые в последний раз были замечены антивирусами 31 мая, то есть непосредственно перед исчезновением ботнета с радаров.

Исследователи отмечают, что в прошлом почти все оффлайны Necurs означали, что операторы ботнета проводят апгрейд инфраструктуры. Так как пока Necurs распространяет уже известные специалистам образчики Locky и Dridex, пока неясно, что именно изменилось, и какие «сюрпризы» могут готовить операторы ботнета.



Оставить мнение