Centrala Chorzów Centrala Chorzów ul. Metalowców 13a, 41-500 Chorzów, tel.: +48 606 616 508, 32 739 02 39
biuro@itd24.pl
Szeroki
wybór produktów
Profesjonalna
obsługa klienta
Wysoka jakość
obsługi
Strefa partnera

Działalność Necury kwitnie w nowym partnerstwie ze Scarab Ransomware

Branża botnetów spamowych Necurs ma się dobrze, ponieważ pozornie ciągle zyskuje nowych klientów. Botnet od Necurs to największy dostawca spamu, który posiada 5 do 6 milionów zainfekowanych hostów w sieci miesięcznie i jest odpowiedzialny za największe pojedyncze kampanie spamowe. Jego model usług zapewnia całą gamę infekcji: od wiadomości spamowych z załącznikami do pobrania złośliwego oprogramowania, po hosting złośliwych plików na zainfekowanych stronach internetowych.

Necurs sporo wnosi do obserwowanego ruchu spamowego.

 

Botnet firmy Necurs jest najbardziej znany z dystrybucji trojana bankowego Dridex, oprogramowania typu Locky ransomware oraz spamu typu „pump-and-dump”. Od 2016r. zwiększył swoje wpływy poza tą trójką i włączył inne rodzaje oprogramowania ransomware, takie jak Globelmposter i Jaff oraz bankowego trojana Trickbot do swojej bazy klientów, przy czym Locky jest “twarzą” dostarczania wirusów poprzez wiele kampanii spamowych tygodniowo.

23 listopada rano można było zaobserwować początek kampanii ze szkodliwymi programami do pobierania skryptów vbs w formacie .zip. Tematy wiadomości e-mail to ” Skanowane z (Lexmark / HP / Canon / Epson) „, a nazwa pliku załącznika jest sformatowana jako ” image2017-11-23- (7 losowych cyfr) .7z „. Ostatecznym ładunkiem (ku naszemu zdziwieniu) było oprogramowanie ransomware typu Scarab, którego nie widzieliśmy wcześniej w masowych kampaniach spamowych. Scarab ransomware to stosunkowo nowy wariant ransomware po raz pierwszy zaobserwowany w czerwcu zeszłego roku, a jego kod jest oparty na otwartym oprogramowaniu „ransomwareproof-of-concept ” o nazwie HiddenTear.

Ta wersja nie zmienia nazw plików, ale dołącza nowe rozszerzenie plików do zaszyfrowanych plików za pomocą „. [Suupport@protonmail.com] .scarab” i po zaszyfrowaniu wypuszcza następującą notatkę dotyczącą okupu:

Kampanie spamowe od Necurs mają ten sam format w każdej kampanii, składającej się z tematyki inżynierii społecznej, od narzędzi finansowych po biurowe, z bardzo minimalną treścią tekstową i zawierają zwykle złośliwe załączniki, czasami tylko adresy URL. Ponieważ proste motywy socjotechniczne są skuteczne, Necurs ma tendencję do ponownego wykorzystywania motywów spamu w swoich kampaniach, czasem krótszym cyklu. W tym konkretnym przypadku tematy użyte w kampanii spamowej były ostatnio widziane w kampanii Locky ransomware dokładnie dwa tygodnie wcześniej, a jedyną różnicą jest rozszerzenie dołączonego downloadera.

To dało Scarab-ransomware ogromną popularność
X

FreshMail.pl