Ilość spamu spadła o połowę

0

Nadawcy spamu w ostatnim czasie wyraźnie ograniczyli działalność, ale nie dotyczy to phishingu, ofert zakupu tanich pigułek Viagra oraz ankiet, w których można wygrać nieistniejące nagrody. Niemniej jednak zdecydowanie zmalała ilość szkodliwego spamu zawierającego malware, a więc tego z załączoną informacją o nieodebranych przesyłkach, fałszywych CV i listach motywacyjnych i nieopłaconych fakturach.

Do tej pory nadawcy spamu mieli nadzieję, że nieświadomy odbiorca otworzy załącznik zwierający szkodliwe oprogramowanie i przyczyni się do rozprzestrzeniania złośliwego ransomware,  np. Locky lub trojanów bankowych takich jak Dridex. Załączniki te mają różną formę – dokumentów Microsoft Word lub Exceli i są połączone ze złośliwymi makrowirusami lub, od niedawna, JavaScriptami (.JS) i plikami skryptowymi Windows (.WSF). Pliki te mają zwykle podobny schemat działania – jeśli zostaną uruchomione poprzez otwarcie załącznika – kontaktują się z serwerem umożliwiając oszustom kontrolowanie go i zarażenie ofiary próbką malware, lub jak ostatnio – wieloma próbkami.

Zauważalne jest jednak to, że w świecie spamu dzieje się coś dziwnego. Zaraz przed świętami Bożego Narodzenia 2016 roku, poziom spamu zmniejszył się o ponad połowę. Podobne przestoje były obserwowane wcześniej, lecz ten spadek utrzymuje się już 2 miesiące i nie zanosi się na to, by poziom spamu z powrotem wzrastał (choć należy założyć, że w pewnym momencie tak się stanie). Poniższy wykres przedstawia poziom spamu widoczny w sieci pułapek spamowych Sophos, aktualizowany codziennie od listopada 2016.

Jak wyraźnie widać, tuż przed Bożym Narodzeniem poziom spamu spadł drastycznie i nie wzrósł znacząco do tamtego momentu. Warty zauważenia jest fakt, że poziom ten rutynowo wzrastał w ciągu tygodnia pracy – należy założyć więc, że nawet cyberprzestępcy nie chcą pracować w weekendy. Aby wykluczyć, niepoprawność danych dostarczonych przez SophosLabs zostały one porównane z ogólnodostępnymi danymi z Composite Blocking List, wykorzystywanymi przez m.in. Spamhaus. Poniższy wykres przedstawia dane z CBL:

Powód spadku ilości spamu nie został jednoznacznie określony, ale wiele dowodów wskazuje na to, że stoi za tym unieszkodliwienie botneta o nazwie Nercus. Jest on uważany za największy botnet w historii, a niektóre szacunki wskazują na to, że jego sieć składa się z 6 milionów zainfekowanych urządzeń. Większość zarażonych komputerów wydaje się być w Indiach, ale niemal w każdym kraju na świecie znajdują się urządzenia zawierające malware od Nercus. Chlubnym wyjątkiem jest Rosja – malware Nercus celowo unika infekowania komputerów skonfigurowanych do używania rosyjskich klawiatur.

Co interesujące, poziom spamu spadł również w czerwcu 2016, ale Nercus wrócił do pełni sił już miesiąc później dostarczając nową wersję Locky. Dlaczego tym razem Nercus został unieszkodliwiony, jak długo potrwa ta „przerwa w spamie” i czy Nercus wróci do pełnej sprawności – nie wiadomo. Pewne jest jednak to, że nie powstrzymało to przestępców do rozprzestrzeniania ransomware’u Locky i innego szkodliwego oprogramowania poprzez rozsyłanie linków-pułapek i zainfekowanych załączników, mimo widocznego globalnego spadku ilości spamu, przedstawionego powyżej.  Wiadomo również, że botnet Nercus nie jest całkowicie martwy, jedynie unieszkodliwiony na jakiś czas. Jeśli komputer jest częścią botnetu Nercus, to nadal pozostaje zainfekowany i wciąż otrzymując polecenie, może zacząć rozsyłać spam.

PODZIEL SIĘ

BRAK KOMENTARZY

ZOSTAW ODPOWIEDŹ