Το Necurs botnet, το μεγαλύτερο και γνωστότερο botnet διανομής malware μέχρι τώρα, φαίνεται να αντιμετωπίζει κάποια τεχνικά προβλήματα και η άμεση συνέπεια αυτής της διακοπής είναι μια τεράστια βουτιά στους αριθμούς διανομής των Dridex και Locky.

Το Necurs είναι ένα συλλογικό δίκτυο υπολογιστών που έχουν μολυνθεί με το Necurs rootkit. Αυτά τα bots ενώνονται για να σχηματίσουν ένα δίκτυο P2P διασυνδεδεμένων υπολογιστών που είναι γνωστό ως botnet peer-to-peer.

Αυτά τα botnets έχουν έναν κεντρικό C&C server που επικοινωνεί με μικρότερα δίκτυα, που ονομάζονται subnets (υποδίκτυα), που τα διαχειρίζονται ειδικά bots που ονομάζονται workers, τα οποία στη συνέχεια στέλνουν εντολές σε τακτικά bots.

Οι οδηγίες μπορεί να ποικίλουν μεταξύ των DDoS επιθέσεων και τη διανομή spam, αλλά το Necurs έχει γίνει γνωστό εδώ και πολύ καιρό για το ότι είναι η πηγή όλων των spam που στέλνει «τόνους» μηνυμάτων ηλεκτρονικού ταχυδρομείου που περιέχουν το τραπεζικό trojan Dridex και πιο πρόσφατα, το Locky ransomware.

Σύμφωνα με την MalwareTech, το botnet Necurs έχει περίπου 6.1 εκατομμύρια bots, μακράν το μεγαλύτερο botnet που είναι γνωστό μέχρι σήμερα.

Όπως αποκάλυψε σήμερα η Proofpoint, φαίνεται ότι ξεκινώντας από την 1 Ιουνίου όλη η δραστηριότητα από αυτό το botnet έχει σταματήσει τελείως.

Οι ερευνητές πιστεύουν ότι κάποιος κατάφερε να «χτυπήσει» τον κύριο C&C εξυπηρετητή του, κάτι που έχει συμβεί και στο παρελθόν. Ωστόσο, δεν θα πρέπει να αποκλειστούν και εργασίες συντήρησης.

«Αν και αυτό δεν είναι η πρώτη εμφανής διακοπή του Necurs που έχουμε δει, τα διαθέσιμα στοιχεία δείχνουν ότι υπάρχει μια σημαντική και συνεχιζόμενη αποτυχία της C&C υποδομής πίσω από το botnet», εξηγεί η ομάδα της Proofpoint.

Δυστυχώς, αυτό δεν έχει καταστρέψει το botnet, διότι η P2P αρχιτεκτονική του Necrus και η χρήση του Domain Generation Algorithm (DGA) πάντα δίνει τη δυνατότητα στους απατεώνες να πάρουν τον έλεγχο του botnet τους, συνδέοντάς το με έναν άλλο C&C εξυπηρετητή αργότερα.

Είτε μιλάμε για μια μόνιμη ή προσωρινή κατάσταση, αυτό που είναι γνωστό αυτή τη στιγμή είναι ότι τα Dridex και Locky spam έχουν σταματήσει. Την τελευταία φορά που η δραστηριότητα του Necurs σταμάτησε για τόσο πολύ καιρό ήταν το φθινόπωρο του 2015, όταν ένας ύποπτος-κλειδί πίσω από την Dridex συμμορία συνελήφθη στην Κύπρο.