В начале текущего месяца ИБ-эксперты зафиксировали резкое снижение количества спам-писем, распространяющих Dridex и Locky. Как оказалось, ответственный за их рассылку один из крупнейших в мире ботнетов Necurs по непонятным причинам был почти полностью отключен. По словам исследователей, на прошлых выходных ботсеть возобновила активность.
По словам экспертов компании AppRiver, Necurs не был отключен, а лишь прекратил управлять инфицированными компьютерами. После резкого падения вредоносного трафика 1 июня, 21 июня количество рассылаемых ботнетом спам-писем неожиданно возросло.
Данные AppRiver подтверждает ИБ-эксперт MalwareTech. Как пояснили исследователь, Necurs представляет собой не один, а целых семь ботнетов. “Я не могу сказать, кто стоит за каждым ботнетом, если они действительно связаны между собой, или что собой представляет их организационная структура. Поскольку все ботнеты ушли в offline одновременно, оставались отключенными в течение одного периода времени, а затем в один день возобновили активность, я предполагаю, что стоящие за ними организации связаны друг с другом, несмотря на разные закрытые ключи”, – сообщил MalwareTech.
Согласно одной из теорий, Necurs резко прекратил свою деятельность после ареста российскими правоохранительными органами 50 участников хакерской группировки, подозреваемых в хищении 1,7 млрд. руб. со счетов компаний и финансовых организаций. MalwareTech считает данное предположение вполне правдоподобным. Судя по составленной им карте, на которой отмечены входящие в Necurs зараженные компьютеры, ботнет не затрагивает Россию. (Новости/NovostIT)
