Специалисты компании Cisco обнародовали отчет, согласно которому уровень почтового спама, постепенно снижавшийся в последние пять лет, вновь начал расти. В 2016 году спам вновь вышел на уровень, которого аналитики не видели уже давно.
В качестве иллюстрации специалисты Cisco предлагают график Composite Block List, в котором собраны данные об уровне спама с 2009 года. Как можно заметить, нынешняя ситуация сравнима с ситуацией 2010 года.
Еще один график, составленный SpamCop, показывает динамику общемирового уровня спама в текущем 2016 году. Если до 2016 года в среднем наблюдалось порядка 200 000 IP-адресов, распространяющих мусорную корреспонденцию, в августе 2016 года сейчас этот показатель успешно преодолел отметку в 450 000.
Почему возник такой прирост? Специалисты Cisco полагают, что в этом виноват ботнет Necurs. По данным экспертов, многие IP, рассылающие Necurs спам, заражены уже более двух лет. При этом операторы ботнета стараются действовать осторожно, к примеру, хосты задействуются для рассылки писем на два-три дня, а затем не используются на протяжении двух-трех недель. Это здорово осложняет работу аналитиков, которые успевают предположить, что зараженный хост был обнаружен и очищен, но спустя время рассылка спама возобновляется.
Летом 2016 года Necurs на некоторое время пропадал с радаров, что тогда связали с арестом авторов трояна Lurk. Однако спустя несколько недель ботнет возобновил свою деятельность в полном объеме и, что гораздо хуже, сменил тактику. Если раньше Necurs рассылал обычный спам, то теперь ботнет переключился на сообщения, содержащие вредоносные вложения. К примеру, Necurs уже был замечен за распространением банковского трояна Dridex и вымогателя Locky.