Компания MalwareTech сообщает, что ботнет Kelihos, также известный как Waledac, и существующий с 2008 года, продолжает расти. На прошлой неделе исследователи зафиксировали по-настоящему взрывной рост: размер ботнета увеличился в три раза всего за одни сутки.

Kelihos был обнаружен еще в 2008 году, и тогда ботнет в основном занимался распространением финансового и фармацевтического спама. Все эти годы операторы ботнета успешно противостояли попыткам закрытия и старались держаться «ниже уровня радаров», — после каждой успешной кампании ботнет впадал в спячку на несколько недель и даже месяцев. Однако время идет, сетевой ландшафт меняется, и операторам приходится адаптироваться к новым условиям.

Согласно данным MalwareTech, в наши дни ботнет переключился на совершенно иную категорию спама: теперь Kelihos занимается распространением банковских троянов и вымогателей. К примеру, этим летом Kelihos распространял недавно обнаруженную вымогательскую малварь WildFire, что, по мнению исследователей, весьма необычно:

«Сам шифровальщик, судя по всему, является работой скрипт-кидди (код очень незрелый, он использует .Net framework, а управляющие серверы хостятся на виртуальном хостинге, который продается через форум для скрипт-кидди). Не ожидаешь, что такие люди будут вести дела с российскими ветеранами спама», — пишут специалисты MalwareTech.

На прошлой неделе исследователям McAfee и «Лаборатории Касперского» удалось взломать WildFire и выпустить бесплатные инструменты для дешифровки данных. Теперь ботнет Kelihos переключился на другую малварь, к примеру, начал распространять банковские трояны, созданные на базе Zeus.

Одновременно с переходом на новые методы работы, ботнет начал расширяться. Исследователи пишут, что в период с 27 июня по 5 июля 2016 года ботнет уже распространял шифровальщика WildFire, но размеры Kelihos еще оставались весьма скромными. Ботнет начал агрессивный рост после 11 июля текущего года. Сначала количество ботов увеличилось с 8000 до 13000, а затем, 22 августа, была зафиксирована вторая волна роста. В этот день, всего за 16 часов, исследователи зафиксировали более 16000 новых заражений, и 9000 из них произошли в первые 10 минут после старта кампании. Через сутки количество зараженных устройств уже равнялось 34 533.

Исследователи делают вывод, что операторы ботнета экспериментируют с новой бизнес-моделью и пытаются понять, стоит ли им расширяться до масштабов конкурентов и переходить к распространению шифровальщиков и банковских троянов. Эксперты полагают, что ботнет может продолжить расти, так как высокоуровневый спам требует несколько иного подхода.

Оставить мнение