Análisis de malware

Necurs: la botnet más grande del mundo

enero 27, por Ninja de seguridad

Este artículo examina lo que se promociona como el botnet más grande del mundo conocido como «Necurs», centrándose en lo siguiente:

  1. Cómo se destaca Necurs de otras botnets;
  2. Las famosas infecciones/malware que ha utilizado Necurs;
  3. Cómo esta botnet se ha convertido en la primera opción para el ciberatacante.

La primera aparición de Necurs se observó en. En ese momento, era esencialmente una red de sistemas comprometidos que enviaban correos electrónicos no deseados con archivos adjuntos maliciosos a una gran cantidad de destinatarios.

¡Conviértete en un ingeniero inverso certificado!

Obtenga capacitación práctica en vivo sobre análisis de malware desde cualquier lugar y conviértase en un analista certificado de ingeniería inversa. Comienza a aprender

Los archivos adjuntos maliciosos incluían varias formas de caballos de Troya para ransomware. Hoy, Necurs se está reinventando al admitir otras variantes de malware.

Para apuntar a una computadora víctima a la botnet Necurs, primero se infecta con un rootkit. Tan pronto como pasa a formar parte de Necurs, el ordenador víctima se utiliza para infectar otros dispositivos con formas de malware más nuevas y potentes mediante el uso de varios comandos.

Es importante tener en cuenta que Necurs también es una botnet P2P, lo que significa que también puede comunicarse con otros bots infectados y compartir una lista de direcciones IP basadas en servidores. Necurs también hace uso de algoritmos de generación de dominios (DGA) para llevar a cabo sus ataques.

Necurs tiene un enfoque modular, lo que significa que puede realizar la infección inicial y, a partir de ahí, agregar malware adicional. Esto es lo que ha hecho que Necurs sea sigiloso y encubierto.

A continuación se detallan los principales módulos de Necurs:

A continuación se muestra un resumen de las funciones que ha desempeñado Necurs desde sus inicios:

Necurs se inició mediante la creación de una red peer to peer con una extensión de dominio .bit. Esto le dio a la botnet en evolución la ventaja de evadir la detección y ser parte de un sistema DNS descentralizado. En, Necurs aprovechó el cargador Upatre para crear la infección inicial. Luego, utilizó el cargador Gameover Zeus para ataques posteriores. Finalmente, fueron neutralizados por la comunidad de seguridad. Sin embargo, antes de que esto sucediera, Necurs también se asoció con ransomware, como CryptoLocker. En, Necurs continuó entregando sus diversas formas de ransomware, siendo uno de los principales ejemplos el de Cryptowall. En, Necurs inició varias campañas de spam lanzadas por algunos de los grupos de ciberatacantes más importantes, como TeslaCrypt, NeverQuest y Dridex. Durante este período, Necurs también comenzó a distribuir Locky Ransomware. Se cree que todavía está presente en más de 50.000 máquinas. En marzo de, Necurs lanzó una estafa financiera de tipo «pump and dump» para acciones de muy bajo valor. El resultado fue que el volumen de negociación de estas acciones fue mucho mayor de lo normal. La última infección de Necurs es la explotación de la vulnerabilidad DDE y su entrega a través de Locky Ransomware. Al infectar, inicialmente, el ordenador víctima recibirá un «malspam» de la botnet Necurs. Contiene un archivo adjunto.DOC infectado que explota aún más el DDE. En segundo lugar, una vez realizada la ejecución, se descarga el malware de primera etapa. Esta etapa consta de solicitudes HTTP con la URL de retorno del malware. En tercer lugar, el malware de la primera etapa envía más de 2 solicitudes de publicaciones HTTP para descargar el binario Locky que conforma el ransomware.

Necurs tiene resiliencia incorporada y las siguientes son sus características:

Finalmente, Necurs es el catalizador detrás de muchos de los ciberataques que se producen. El resultado es una catástrofe para las empresas y corporaciones en cuanto a pérdida de ingresos y clientes. Además, se espera que Necurs se vuelva mucho más sofisticado y, por lo tanto, sea la herramienta elegida para futuros delitos cibernéticos, especialmente cuando esté involucrado Ransomware.

Fuentes:

https://securityintelligence.com/news/fraudsters-use-necurs-botnet-to-spread-scarab-ransomware/

https://securityintelligence.com/the-necurs-botnet-a-pandoras-box-of-malicious-spam/

https://www.bankinfosecurity.com/necurs-botnet-shifts-from-ransomware-to-pump-and-dump-scam-a-9781