Bot mreža Necurs ima modul za DDoS napade, ali je malo verovatno da će se on ikada koristiti

Vesti, 02.03.2017, 00:30 AM

Najveća spam bot mreža u svetu, bot mreža Necurs, koja ima skoro 5 miliona inficiranih računara, od kojih je svakodnevno aktivno milion računara, dobila je novi modul koji se može koristiti za pokretanje DDoS napada.

Kao i većina današnjih vodećih malvera, i Necurs ima nekoliko modula koji se po potrebi učitavaju na inficiranim računarima u realnom vremenu.

Prema tvrdnjama istraživača iz firme Anubis Networks, Necurs je dobio mogućnost za pokretanje DDoS napada pre pola godine i to preko novog Proxy modula.

Prvi put je novi modul detektovan u septembru prošle godine, ali najverovatnije je da modul datira od avgusta 2016.

Početna analiza ovog modula svrstala ga je u proxy server na zahtev koji može da šalje maliciozni saobraćaj preko inficiranih računara, preko HTTP, SOCKSv4 i SOCKSv5 proxy protokola.

Za sada nijedan DDoS napad nije pripisan bot mreži Necurs. Ako bi Necurs bio ikada iskorišćen za DDoS napad, razmere takvog napada bile bi veće od svega što smo videli ikada.

Sama veličina Necurs bot mreže je impresivna. U njenim najgorim danima ona je bila veća od svih današnjih bot mreža sastavljenih od IoT uređaja. Najveća IoT mreža je bot mreža Mirai #14 koja je do kraja prošle godine uspela da okupi oko 400000 botova.

Necurs je do ogromnog broja botova došao inficiranjem desktop računara. To što je postala toliko velika bot mreža Necurs duguje činjenici da nikada nije korišćena za DDoS napade koji obično privuku pažnju policija, koje zatim pokušavaju da ih ugase.

Necurs je uglavnom korišćen za slanje spam emailova sa inficiranih računara, koji sadrže bankarskog trojanca Dridex, a od nedavno sadrže i ransomware Locky.

Nejasno je zbog čega su operateri bot mreže Necurs iznenada odlučili da dodaju DDoS modul. Neki stručnjaci su već komentarisali ovu odluku kao čudnu jer je DDoS/proxy modul prilično star. Oni su možda želeli veću zaradu ali su shvatili da se sa spam emailovima može zaraditi više. Zbog toga je malo verovatno da ćemo videti DDoS napade od Necursa.

Slanje spam emailova je lakše za sajber kriminalce. Pošalju nekoliko poruka, zatim ostavite inficirani računar da "malo odmori", tako da filteri protiv spama neće staviti IP adresu inficiranog računara na crnu listu.

Osim toga, autori Necursa uložili su i vreme i novac da razviju profesionalnu, "dobro podmazanu" mašinu za pravljenje novca. Nema razloga da rizikuju stabilan izvor prihoda zbog rentiranja servisa za izvođenje DDoS napada zbog koga mogu samo da izgube. Osim toga, prosečna cena DDoS napada je niža iz godine u godinu.

Stručnjaci smatraju da je grupa koja stoji iza Necursa jednostavno zaboravila da ukloni DDoS modul. Oni ne misle da su kriminalci planirali iznudu novca i ucenjivanje kompanija DDoS napadima. Pretpostavlja se da bi motiv mogao biti nešto drugo što podrazumeva manje rizičan scenario, verovatno za napad na druge hakere.

U prilog takvim pretpostavkama govori i činjenica da Necurs nema mehanizam koji bi omogućio kontrolu nad DDoS napadima. Bot mreže koje se koriste u ovu vrhu mogu da obezbede određeni obim saobraćaja od jedne grupe botova. Kod Necursa toga nema. Bez toga bilo bi teško naplatiti DDoS napade ove bot mreže.