Necurs botnet ปัจจุบันเป็นบอทเน็ตที่มีขนาดใหญ่เป็นอันดับสอง โดยมันเรื่มมาตั้งแต่ปี 2012 และมันเกี่ยวข้องกับการแผ่ขยาย ransomware อย่าง Locky, Scarab และ โทรจันอย่าง Dridex ตามที่ผู้เชี่ยวชาญได้บอก Necurs botnet ปัจจุบันมีอยู่กว่า 570,000 ตัวที่ใช้งานได้กระจายทั่วโลกโดยมากสุดในประเทศอินเดีย อินโดนิเซีย เวียดนาม ตรุกี และ อิหร่าน และคาดการณ์ว่า Necurs botnet ที่ไม่สามารถติดต่อกับเซิร์ฟเวอร์ควบคุมได้กว่า 90,000 ตัวกระจายอยู่ทั่วโลก

โดย Necurs botnet หยุดการเคลื่อนไหวไปในช่วงต้นปี 2017 และกลับมาเคลื่อนไหวอีกครั้งในช่วงเมษายน 2017 โดยพบว่ามีการเพิ่มการใช้เทคโนโลยีใหม่ๆ เพื่อหลบการตรวจจับจากอุปกรณ์ต่างๆ ซึ่งในปัจจุบันผู้เชี่ยวชาญกล่าวว่า Necurs botnet มีการพัฒนาความสามารถในการหลบการตรวจจับจากอุปกรณ์ต่างๆ ให้ดีขึ้นรวมถึงพัฒนาความสามารถในการแพร่กระจาย

โดยผู้เชี่ยวชาญจาก Black Lotus Labs พบว่าเซิร์ฟเวอร์ควบคุม Necurs มีการทำงานเป็นรอบๆ โดยจะปิดตัวเอง ลงและเปิดกลับขึ้นใหม่เป็นระยะ ทำให้ตัว Necurs botnet หยุดการทำงานเป็นช่วงๆ ซึ่งทำให้ตรวจจับไม่พบ

ผู้เชี่ยวชาญ CenturyLink อธิบายถึงความพยายามที่จะทำลายโครงสร้างของ Necurs อย่างไรก็ตามการดำเนินการนั้นไม่ง่ายเพราะว่าโครงสร้างพื้นฐานของ Necurs มีการใช้งาน domain generation algorithm (DGA) เพื่อหลีกเลี่ยงการตรวจจับ เมื่อเจ้าของ Necurs botnet ทำการจด DGA โดเมนเพื่อใช้เป็นเซิร์ฟเวอร์ควบคุม โดเมนตัวนั้นจะไม่เชื่อมกับ IP ที่แท้จริงของเซิร์ฟเวอร์ควบคุมนั้น ทำให้นักวิจัยไม่สามารถหา IP ที่แท้จริงของเซิร์ฟเวอร์ควบคุมได้ และจัดการปิดได้ยากขึ้น แต่ DGA เป็นดาบสองคมเพราะช่วยให้นักวิจัยด้านความปลอดภัยสามารถวิเคราะห์ DNS และ network traffic เพื่อค้นหา Necurs botnet ได้เหมือนกัน

ที่มา:securityaffairs

แม้ว่าช่วงครึ่งปีแรกของ 2560 ไม่พบการโจมตีใดๆ จาก Necurs botnet เลย แต่เมื่อเร็ว ๆ นี้ได้มีการพบว่าถูกใช้ในการแพร่กระจาย Locky ransomware ผ่านอีเมลล์นับล้านฉบับ

นักวิจัยด้านความปลอดภัยจาก Symantec พบว่ากลุ่มแฮกเกอร์ผู้อยู่เบื้องหลัง Necurs botnet ได้มีการเพิ่มฟังค์ชันบางอย่างในชุดเครื่องมือหลัก เพื่อให้ได้ข้อมูลเชิงลึกเพิ่มเติมของเหยื่อผ่านการใช้ Screenshots และส่งกลับไป นอกจากนี้ผู้โจมตีได้ทำการอัพเกรดมัลแวร์ ให้มีฟีเจอร์สำหรับรายงานข้อผิดพลาด (error-reporting) ในกรณีที่เกิดปัญหาในการดาวน์โหลด เพื่อส่งข้อมูลกลับไปยังเซิร์ฟเวอร์ของแฮกเกอร์ คล้ายกับฟีเจอร์สำหรับรายงานข้อผิดพลาด (error-reporting ) ของซอฟต์แวร์ที่ถูกต้อง

Necurs botnet มีการแพร่กระจายอยู่เพียง 5 ปีเท่านั้น แต่มันสามารถทำให้เครื่องของเหยื่อเป็นฐานในการแพร่กระจายมัลแวร์ (Zombie) ได้ถึง 6 ล้านเครื่อง ส่งผลทำให้เครื่องเหยื่อมีการดาวน์โหลด banking Trojans และ Ransomware ผ่านอีเมลล์ไปแล้วนับล้านฉบับ โดยส่วนใหญ่ผู้โจมตีจะปลอมแปลงอีเมลล์เป็นใบแจ้งหนี้ (INVOICE) โดยมีรายละเอียดดังนี้

Subject: Status of invoice [หมายเลขใบ INVOICE ปลอม]
Attachment: [หมายเลขใบ INVOICE ปลอม].html
เนื้อหาของอีเมลล์ประกอบด้วยข้อความที่จูงใจให้ผู้อ่านอยากเปิดเอกสารแนบเพื่อตรวจสอบใบแจ้งหนี้ หากผู้ใช้เปิดไฟล์ .html ที่แนบมา ระบบจะทำการดาวน์โหลด JavaScript ผ่านทาง iframe ที่ฝังมาเพื่อดาวน์โหลด Payload ที่อาจเป็น Locky หรือ Trickybot มาด้วย

วิธีป้องกันอันตรายจากอีเมลล์
1. ไม่ทำการเปิด หรือทำการลบอีเมลล์ที่ไม่มีแหล่งที่มาน่าเชื่อถือ โดยเฉพาะอย่างยิ่งหากเป็นอีเมลล์ที่มีลิงก์หรือไฟล์เอกสารแนบ
2. อัพเกรดโปรแกรมรักษาความปลอดภัยและซอฟต์แวร์อย่างสม่ำเสมอ
3. ทำการสำรองข้อมูลของเครื่องอย่างสม่ำเสมอ

ที่มา : digitaljournal