È tornata la botnet Necurs, con una versione aggiornata del ransomware Locky

La famigerata botnet Necurs risulta di nuovo attiva, dopo essere improvvisamente e misteriosamente scomparsa dalla torbida scena del malware per quasi un mese. I ricercatori di Proofpoint hanno di fatto rilevato la conduzione di massicci mailing di spam nocivo, volti a diffondere una nuova versione, ulteriormente “migliorata”, del potente cryptoblocker Locky, così come il noto Trojan bancario Dridex.

Secondo i dati raccolti dagli esperti, la nuova campagna di spam, composta da diversi milioni di e-mail malevole, è stata lanciata una settimana fa. Proofpoint afferma che si tratta della prima manifestazione di attività, da parte di Necurs, dal 31 maggio scorso, quando ha avuto inizio il lungo periodo di oscuramento. “L’analisi degli indirizzi IP dei mittenti associati a tale campagna ha evidenziato come il temibile “cannone” spara-spam di Necurs sia di nuovo perfettamente funzionante, – scrivono i ricercatori nel loro blog. – È del tutto lecito attendersi, purtroppo, che la campagna e-mail adibita alla diffusione di Dridex e Locky possa nuovamente rappresentare una seria minaccia”.

Sono davvero in molti a ritenere che Necurs sia, attualmente, una delle botnet più estese (essa conta ben 6,1 milioni di bot), responsabile di ingenti perdite finanziarie (per un importo complessivo di svariati milioni di dollari), a seguito delle infezioni informatiche generate dal ransomware e dal Trojan-banker Dridex. Il cryptoblocker Locky è noto, in particolar modo, per l’eclatante attacco sferrato nei confronti del Presbyterian Medical Center di Hollywood, noto istituto ospedaliero californiano, attacco che ha fruttato agli estorsori la somma di circa 17.000 dollari; Dridex, da parte sua, ha permesso ai malintenzionati di sottrarre illecitamente – nel complesso – decine di milioni di dollari alle vittime dell’infezione da esso prodotta, in special modo britanniche ed americane.

Per mesi, secondo le stime di Proofpoint, il trio maligno formato da Necurs, Dridex e Locky ha assicurato ai cybercriminali profitti stabili e continui, nell’ordine di 100.000 – 200.000 dollari al giorno. Lo scorso 1° giugno, tuttavia, la botnet Necurs è improvvisamente scomparsa dai radar; questo ha fatto sì che avvenisse un vero e proprio crollo del numero complessivo di infezioni informatiche generate da Locky e Dridex. “Non conosciamo il motivo per cui le attività di Necurs si siano interrotte; possiamo tuttavia ipotizzare qualche serio problema tecnico a livello di funzionalità C&C della botnet”, – ha dichiarato Kevin Epstein, Vice-presidente di Proofpoint e responsabile del Threat Operations Center allestito dalla società statunitense.

La ripresa delle attività illecite condotte attraverso la botnet Necurs è stata ugualmente osservata dai ricercatori di AppRiver, MalwareTech e Deloitte. Quest’ultima fa notare come le nuove e-mail malevole, distribuite mediante l’utilizzo della botnet in causa, e scritte in un pessimo inglese, siano mascherate sotto forma di notifica relativa all’invio di una fattura commerciale, e risultino genericamente firmate da un sedicente “Direttore Finanziario”. L’analisi dei relativi allegati .zip, condotta presso Proofpoint, ha evidenziato che gli stessi contengono del codice JavaScript, la cui esecuzione genera, poi, il download di Locky.

I ricercatori hanno ugualmente osservato che il nuovo loader del ransomware è provvisto di appositi meccanismi di autodifesa, per ostacolare le analisi svolte dagli esperti di sicurezza IT. Uno di essi permette di rilevare l’eventuale l’esecuzione del malware all’interno di una virtual machine o di una sandbox; un’altra interessante tecnica di offuscamento è poi costituita dall’esecuzione di tipo “cross-module” del payload di Locky, quella che Epstein definisce una sorta di “tip-tap all’interno della memoria”. Una volta completate tutte le verifiche da parte del loader, viene effettuata la decompressione del codice binario di Locky tramite la funzione RtlDecompressBuffer; viene inoltre sovrascritta l’immagine originale del loader. Questo consente agli attacker di cambiare la posizione del codice relativo ai comandi di Locky, con il preciso intento di complicare considerevolmente l’eventuale analisi manuale dei dump di memoria.

Secondo Kevin Epstein, Proofpoint sta già rilevando una notevole escalation, per quel che riguarda la distribuzione del ransomware Locky attraverso la botnet di recente riattivata. L’esperto ritiene che Necurs generi attualmente, nell’arco delle ventiquattro ore, dagli 80 ai 100 milioni di simili messaggi e-mail malevoli.

Fonte: Threatpost

Post correlati

Lascia un commento

Il tuo indirizzo email non sarà pubblicato. I campi obbligatori sono contrassegnati *