San Valentín reactiva a la botnet Necurs

  • Actualidad

Las fechas señaladas en el calendario muchas veces se convierten en reclamo de los ciberdelincuentes y San Valentín no iba a ser menos. IBM ha observado un aumento general del spam relacionados con la búsqueda de pareja en las últimas dos semanas. La campaña actual de la botnet Necurs ha superado los 230 millones de correos no deseados en cuestión de dos semanas.

También puedes leer...

Todo sobre Spectre y Meltdown

SecOps a examen

Los mitos de las Brechas de Seguridad

La creación de un SOC

Cómo utilizar la Dark Web

IBM X-Force ha observado un aumento general de correos no deseados relacionados con la búsqueda de pareja en Internet, desde el botnet Necurs, un repunte que comenzó a mediados de enero y que continuó a medida que se acercaba el 14 de febrero.

Esta botnet es conocida por sus campañas masivas de spam que, según expertos, podría controlar alrededor de seis millones de bots zombis. Además destacan sus vínculos con bandas de malware que propagan troyanos bancarios, como Dridex y Trickbot, además de los ransonware Locky, Scarab y Jaff. No obstante, sus operadores también distribuyen spams para otros intentos de fraude.

Según los datos de X-Force, la campaña actual de Necurs ha llegado a más de 230 millones de correos no deseados en cuestión de dos semanas, después de que la botnet lanzara decenas de millones de mensajes en dos grandes ataques. El primero comprendió el periodo entre el 16 de enero y el 18 de enero, y el segundo episodio se produjo entre el 27 de enero y el 3 de febrero.

Echando un vistazo a los mensajes enviados, a un ritmo de 30 millones de emails al día, esta campaña lanzaba a sus posibles víctimas unos textos muy breves supuestamente escritos por mujeres rusas residentes en Estados Unidos. Si los spams son conocidos por tener bastantes errores de ortografía y gramática, estos mensajes destacaban en cambio por su buena redacción.

En el email aparecía un correo electrónico con el nombre de la supuesta remitente, quien luego pedía al receptor contactar con ella usando otra dirección que hacía referencia a una persona completamente distinta.

En esta campaña, X-Force ha registrado más de 230 millones de emails no deseados sobre citas del botnet Necurs, “saca a la luz su capacidad para distribuir grandes cantidades de correo basura”, explican los expertos de IBM X-Force.

El spam se envió desde aproximadamente 950.000 direcciones IP diferentes. El principal remitente en la lista de direcciones IP era una alojada a través de un ISP con sede en Pakistán. Esa dirección IP (103.255.5.117) había sido reportada por spams unas 655 veces, en el momento en que se escribió este artículo, y actualmente está clasificada en cuestión de riesgos con un 10 sobre 10, según IBM X-Force Exchange.

Los remitentes procedían en la mayoría de los casos de Vietnam e India, con un 55% de las direcciones de IP durante la campaña.

Conviene destacar que estos ciberdelincuentes movilizan siempre sus recursos de forma aleatoria, así como las direcciones IP de origen, y no se usan en siguientes campañas para evitar listas negras y bloqueos.

Estas estafas y spams con tintes románticos vienen de muy atrás. Muchos de estos emails solo están compuestos por un texto muy básico y poco atrayente para el lector. Sin embargo, cuando se trata de spams, su volumen masivo hace que un pequeño porcentaje de respuestas consiga el objetivo de los estafadores. Quienes están detrás de estas campañas atraen a sus víctimas para que compartan fotos comprometidas y así poder extorsionarles, pedirles dinero para ir a visitarles o infectar sus equipos con un malware.

Después del reciente derribo del botnet Andromeda, y anteriormente de Avalanche, Necurs es probablemente el mayor distribuidor al servicio de cibercriminales en este momento, recuerda IBM.