Sem mais nem menos, uma das maiores botnets criminosas do mundo – uma gigantesca rede de computadores usada em ataques – sumiu. Pesquisadores do setor de segurança relataram que, nos últimos dias, houve enormes quedas no tráfego em dois dos mais populares malwares que dependiam da tal rede."Podemos afirmar que as campanhas de spam com Dridex e Locky pararam a partir de 1º de junho de acordo com nossas observações. Não temos como confirmar como a botnet foi derrubada ainda", comentou Joonho As, pesquisador da empresa de segurança cibernética FireEye, em email ao Motherboard.
Publicidade
O Dridex é um malware usado para esvaziar contas bancárias; já o Locky é uma espécie de ransomware bastante popular que criptografa os arquivos da vítima até que ela pague um resgate alto em bitcoin. As atividades de ambos já haviam sido associadas anteriormente.Não está claro o que acontecerá de fato com as vítimas do Locky agora que sua infraestrutura saiu do ar. Há uma chance que os infectados pelo ransomware não tenham como pagar os criminosos para que liberem seus arquivos.
A botnet Necurs continua fora do ar. O excelente rastreador do @MalwareTechBlog está capturando tráfego de DGA e o redirecionado. Quase 5 milhões de PCs infectados!Necurs era a maior botnet do mundo. Se você notou que a maior parte do tráfego malicioso sumiu do seu firewall em 1º de junho…Quando o Locky foi lançado, em fevereiro deste ano, o pesquisador de segurança Kevin Beaumont escreveu que se tratava de "uma obra-prima da criminalidade". "A infraestrutura é altamente desenvolvida, ele foi testado em pequena escala na segunda (beta de ransomware, basicamente) e foi traduzido para diversas línguas. Em suma, isto foi bem planejado", afirmou.Em outubro de 2015, o FBI, a Agência Nacional de Crimes do Reino Unido e demais autoridades interromperam a ação do Dridex, mas isso não o parou.Necurs was the world's largest botnet. If you saw most malicious traffic drop off your firewall 1st June… pic.twitter.com/cFX8ZiQjly
— Kevin Beaumont (@GossiTheDog) 6 de junho de 2016
Publicidade
Após o sumiço da botnet, conhecida como Necurs, Beaumont disse ao Motherboard via mensagem no Twitter que "viu uma enorme queda no tráfego malicioso desde então" e que o Locky havia desaparecido por completo.Nenhum servidor de controle novo – usados por hackers para acompanhar e direcionar sua botnet – surgiram desde então. Beaumont disse ainda que a Necurs era a maior botnet do mundo.Há apenas evidências circunstanciais que indicam o motivo do desaparecimento da botnet. No dia 1º de junho, o mesmo dia em que a FireEye e Beaumont relataram queda no tráfego malicioso, a agência russa FSB disse ter prendido cerca de 50 hackers, de acordo com informações da Reuters. Eles haviam roubado cerca de 1,7 bilhões de rublos de instituições e bancos russos ao utilizar um trojan chamado Lurk.A Group-IB, empresa de segurança cibernética russa que trabalha junto às autoridades, não acredita que haja qualquer ligação entre estas prisões e o sumiço da botnet, porém."Não vemos qualquer ligação entre a queda da Necurs Botnet e as recentes prisões na Rússia", disse Nikolay Grunin, gerente de RP da Group-IB, em email ao Motherboard. "A prisão dos 50 hackers foi feita por conta de atividades ligadas ao grupo Lurk, e este grupo em especial tinha como alvos bancos russos e ucranianos em suas atividades fraudulentas."Por enquanto, o porquê do desaparecimento da Necurs segue um mistério.Tradução: Thiago "Índio" Silva