Acepto

COOKIES

Esta web utiliza cookies técnicas, de personalización y de análisis, propias y de terceros, para anónimamente facilitarle la navegación y analizar estadísticas del uso de la web. Obtener más información

La Botnet Necurs no descansa en Navidad

  • Vulnerabilidades

Botnet

De los 83.000 bots que tenía Necurs cuando nació en 2012 a los más de seis millones que tiene ahora la botnet le han convertido en una amenaza tanto a nivel de spam, de ransomware e incluso de ataques de DDoS.

Los deseos de paz, felicidad y esperanza que se intercambian con motivo de las Navidades no parecen estar haciendo en más mínimo efecto sobre la Botnet Necurs, que durante este periodo ha lanzado varias decenas de millones de emails diarios con adjuntos maliciosos.

También puedes leer...

La nueva Mafia

El riesgo de los altavoces inteligentes

Los cinco grandes mitos de las Brechas de Seguridad

Consideraciones para la creación de un SOC

Cómo utilizar la Dark Web para la inteligenciad de amenazas

Coindiciendo con el Día de los Inocentes se registró la actividad más alta de la botnet en lo que va de año, con más de 6.5 millones de mensajes bloqueados a las seis de la mañana, explica AppRiver en un post.

Necurs sigue explotando una de las amenazas que están demostrando ser más rentables, el ransomware. Locky y Globermporter son dos ramsonware distribuidos por la botnet, que se calcula que cuenta con más de seis millones de endpoint infectados (bot) para realizar sus actividades.

Necurs de detectó en 2012 para convertirse en una fuerza de primer orden en materia de spam y malware. A diferencia de otras redes de bots, Necurs destaca por su complejidad técnica y evaluación continua. Tal es así que ha estado asociada a un grupo llamado Dridex, que lo ha utilizado para extender un troyano bancario; también para la distribución del ransomware Locky, como hemos mencionados, además de participar en ataques de denegación de servicios distribuido, DDoS.

Explica en su post AppRiver que para las últimas distribuciones de Locky y GlobeImposter se ha preferido utilizar un archivo .vbs (script visual basic) o .js (javascript) malicioso ubicado dentro de un .7z (archivo de siete zip) para desplegar la carga útil de ransomware. “El archivo .7z ayuda a mantener pequeños los tamaños de archivo y evadir la detección de filtros de correo electrónico básicos que no escanean dentro de los archivos”, dice la compañía.

El 19 de diciembre, los 45,976,814 correos electrónicos maliciosos que se bloquearon por los investigadores de AppRiver fueron archivos .7z que contenían .vbs maliciosos y al día siguiente, de los 47,309,380 mensajes detenidos, 32,730,828 fueron el archivo .vbs y los 14,578,552 restantes fueron archivos javascript.

Suscríbete a nuestro Newsletter

* Todos los campos son requeridos