CenturyLink Anuncia Black Lotus Labs

O Black Lotus Labs revela a distribuição global e a técnica de ocultação da botnet multiferramentas Necurs

Compartilhar:

A CenturyLink  está compartilhando inteligência sobre a botnet Necurs, descoberta por sua nova divisão de pesquisas e operações sobre ameaças, o Black Lotus Labs. A missão do Black Lotus Labs é a de aproveitar a visibilidade da rede da CenturyLink para ajudar a proteger clientes e manter a internet limpa.  Entre as formas através das quais o Black Lotus Labs faz isto está o rastreamento e a interrupção de botnets como Necurs, uma botnet prolífica e globalmente dispersa de distribuição de spam e malware que recentemente demonstrou uma técnica de ocultação para evitar detecção e acumular mais bots. Leia o relatório do Black Lotus Labs sobre Necurs aqui.

 

“Necurs é a multiferramentas das botnets, que evoluiu de uma operação como botnet de spam que fornecia trojans bancários e ransomware, para o desenvolvimento de um serviço proxy, com capacidades de cripto mineração e DDoS”, disse Mike Benjamin, líder do Black Lotus Labs. “O que é particularmente interessante é a cadência regular da Necurs em se tornar obscura para evitar a detecção, ressurgindo para enviar novos comandos para os hosts infectados e, em seguida tornando-se obscura novamente.  Esta técnica é uma das muitas razões pelas quais a Necurs foi capaz de se expandir para mais de meio milhão de bots ao redor do mundo”.

 

Principais Mensagens

 

Desde maio de 2018, o Black Lotus Labs vem observando um tempo de inatividade regular e contínuo de cerca de duas semanas em funcionamento, seguido por aproximadamente três semanas de atividade para os três dos grupos mais ativos de bots que formam a Necurs.

 

As cerca de 570.000 bots da Necurs estão distribuídas globalmente, com aproximadamente metade localizada nos seguintes países, em ordem de predomínio:  Índia, Indonésia, Vietnã, Turquia e Irã.

 

A Necurs utiliza um algoritmo de geração de domínio (DGA, na sigla em inglês) para ofuscar suas operações e evitar que sejam derrubadas.  No entanto, o DGA é uma faca de dois gumes: como os domínios de DGA que serão utilizados pela Necurs são conhecidos antecipadamente, os pesquisadores de segurança podem utilizar métodos como o “sinkholing” de domínios e analisar o tráfego de DNS e de rede para enumerar as infraestruturas de bots e comando e controle (C2).

 

Conteúdos Relacionados

Security Report | Overview

Nova onda de ciberataques revela avanço da engenharia social, alerta pesquisa

Estudo aponta a nova técnica de phishing, denominada FileFix, já é usada em campanhas reais e permite execução de malwares...
Security Report | Overview

48% dos líderes do setor de ciências da vida utilizam IA para Cibersegurança, afirma estudo

Security Report | Overview

Atuação do grupo de cibercriminosos persiste apesar de operação internacional, alerta pesquisa

Alerta de especialistas afirmam que grupo de cibercriminosos ainda está ativo apesar da operação internacional de busca dos envolvidos
Security Report | Overview

Mais de 12 milhões de smartphones foram alvo de ciberataques, aponta estudo

Entre janeiro e março deste ano, foi registrado um crescimento de 27% em arquivos maliciosos detectados, em comparação com o...