بازگشت بات‌نت Necurs

محققان سیسکو درباره پویش‌های جدید باج‌افزاری بات‌نت Necurs هشدار داده‌اند.

به گزارش افتانا (پایگاه خبری امنیت فناوری اطلاعات)، گروه امنیت سیسکو اعلام کرد که متوجه ترافیکی از بات‌نت خفته Necurs شده‌است. این محققان درباره احتمال پیدایش پویش‌های باج‌افزاری جدید توسط این بات‌نت هشدار دادند.

در پستی که سیسکو منتشر کرده‌است، می‌خوانیم: «تحقیقات گروه تالوس نشان می‌دهد فعالیت هرزنامه‌های Locky مجدداً افزایش یافته‌است ولی هنوز به شدت گذشته نرسیده‌است. سرانجام چند روز پیش شاهد پویش‌های هرزنامه‌ای بودیم که باج‌افزار Locky را توزیع می‌کردند. تفاوت فاحش در این هرزنامه‌ها مربوط به مقدار و حجم توزیع باج‌افزار است. ما به‌طور معمول صدها و هزاران هرزنامه را شاهد هستیم.»

در زمان نگارش این خبر، محققان امنیتی تنها هزار نمونه از پیام‌های هرزنامه‌ای بات‌نت Necurs را پیدا کرده‌اند، اما شرایط ممکن است خطرناک‌تر از وضعیت فعلی بشود. بات‌نت Necurs یک از بزرگ‌ترین معماری‌های تهدید در دنیاست که برای توزیع تروجان بانکی Dridex و باج‌افزار Locky مورد استفاده قرار می‌گرفت و از ۱۲ خردادماه سال جاری ناپدید شده‌بود.

در مهرماه سال ۹۴، تعدادی از آژانس‌های اطلاعاتی و مراجع قانونی با کمک هم بات‌نت Necurs را تخریب کردند ولی این بات‌نت دوباره به صحنه‌ تهدیدات سایبری بازگشت و با قدرت هرچه تمام به توزیع باج‌افزار Locky پرداخت. در‌حال‌حاضر نیز بات‌نت Necurs توسط مهاجمان سایبری برای توزیع باج‌افزار Locky استفاده می‌شود و در هفته‌ گذشته تعداد حملات سایبری افزایش چشمگیری داشته‌است.

محققان سیسکو گفتند: «تا اوایل دی‌ماه، شاهد هیچ فعالیتی از باج‌افزار Locky نبودیم ولی در چند روز گذشته پویش‌های هرزنامه‌ای را مشاهده کرده‌ایم که به توزیع این باج‌افزار می‌پردازند. تنها تفاوتی که وجود دارد در تعداد هرزنامه‌های ارسالی است. قبلاً می‌دیدیم برای توزیع باج‌افزار صدها و هزاران هرزنامه ارسال می‌شد، ولی در‌حال‌حاضر کمتر از هزار هرزنامه برای توزیع باج‌افزار Locky مشاهده شده‌است. با این کاهش در تعداد هرزنامه‌ها، شاید در آینده شاهد تغییرات دیگری در این پویش‌ها باشیم.»

محققان سیسکو در بررسی‌های اخیر خود دو پویش را مشاهده کرده‌اند که تا حدودی با پویش‌های قبلی تفاوت دارند. در یکی از این پویش‌ها یک پرونده‌ zip که در هرزنامه موجود است، یک نصب‌کننده‌ بدافزار را بر روی رایانه‌ قربانی قرار می‌دهد. وقتی پرونده‌ zip باز شود، یک پرونده‌ JSE این قابلیت را دارد که باج‌فزار Locky و تروجان Kovter را بر روی سامانه‌ قربانی بارگیری و نصب کند.

در پویش دوم به جای استفاده از پرونده‌ zip از یک پرونده‌ RAR استفاده‌می‌شود. اگر قربانی پرونده‌های موجود در آن را استخراج کند با یک پرونده‌ جاوا اسکریپت به نام doc_details.js مواجه خواهد‌شد.