CenturyLink está compartiendo inteligencia sobre la botnet Necurs, descubierta por su nueva división de investigaciones y operaciones sobre amenazas, Black Lotus Labs.
La misión de Black Lotus Labs consiste en aprovechar la visibilidad de la red de CenturyLink para ayudar a proteger a los clientes y mantener a Internet limpia. Entre las formas utilizadas por Black Lotus Labs para llevarlo a cabo, se encuentra el rastreo y la disrupción de botnets tales como Necurs, una botnet prolífica y diseminada globalmente, de distribución de spam y malware, que recientemente demostró una técnica de ocultamiento tanto para evitar la detección como para generar más bots inadvertidamente.
Mike Benjamin, líder de Black Lotus Labs comenta: ‘Necurs es la multiherramienta de las botnets, que evolucionó de operar como una botnet de spams que enviaba troyanos y ransomware bancarios, a desarrollar un servicio proxy, como así también capacidades de criptominería y de DDoS’. Además detalla: ‘Resulta particularmente interesante la cadencia regular de Necurs de tornarse oscura para evitar la detección, reemergiendo para enviar nuevos comandos a los hosts infectados y luego volverse oscura nuevamente. Esta técnica es una de las muchas razones por las cuales Necurs ha podido expandirse a más de medio millón de bots en todo el mundo’.
Desde mayo de 2018, Black Lotus Labs observó un tiempo de inactividad regular y sostenido de aproximadamente dos semanas, seguido de aproximadamente tres semanas de actividad para los tres grupos más activos de bots -entre los que se encuentra Necurs.
CenturyLink tomó medidas para mitigar el riesgo de este malware para los clientes, además de notificar a otros propietarios de redes sobre los dispositivos potencialmente infectados, para ayudar a proteger la internet.
