Necurs botnet

נקרוס בוטנט (באנגלית: Necrus Botnet) היה בוטנט זדוני שהפיץ את הנוזקות Dridex ו-Locky^[1].

הנוזקה הופצה בצורת עמית לעמית באמצעות הודעות דואר אלקטרוני המכילות קישורים לאתרים מתחזים וקבצים זדוניים הנקראים קבלה או סיכומי רכישה^[2].

הקבצים המצורפים אל תכתובת הדואר האלקטרוני מכילים קוד מאקרו זדוני בעזרתו ניתן להריץ ותהליכי מערכת, להוריד את הנוזקה, להתחבר אל שרת שליטה ובקרה (C&C) ולהעביר אליו נתונים^[3][4].

בחודש דצמבר 2012 פרסמה חברת סימנטק (Symantec) אינדיקטורים המסייעים בזיהוי פעילותו של הבוטנט^[5].

שיא פעילותו היה בעת ששלח כ-47 מיליון הודעות ספאם ביום^[6].

ב-10 במרץ 2020 חדל הבוטנט לפעול, לאחר מבצע רב-היקף של חברת מיקרוסופט בשיתוף חברות נוספות ב-35 מדינות.^[7]

ראו גם

• מחשב זומבי
• בוטנט
• וירוס מחשב
• סוס טרויאני

קישורים חיצוניים

• הפוגען Trickbot מופץ באמצעות בוטנט Necurs, מערך הסייבר הלאומי (בעברית)
• פוגען כופר חדש מופץ באמצעות בוטנט Necurs, מערך הסייבר הלאומי (בעברית)
• דו"ח אודות פעילותו של הבוטנט, אתר FS-ISAC (באנגלית)

הערות שוליים

1. The Malware-as-a-Service Industry, Check Point Software Blog, ‏2016-06-27 (באנגלית)
2. Necurs - hybrid spam botnet, CERT Polska, ‏2016-09-02 (בפולנית)
3. קבצי אקסל עם סיומת IQY משמשים לתקיפת עמדות קצה, באתר https://cis.technion.ac.il, ‏11 ביוני 2018
4. Hackers behind Locky and Dridex start spreading new ransomware, IT PRO (באנגלית)(הקישור אינו פעיל)
5. Backdoor.Necurs | Symantec, www.symantec.com
6. Necurs botnet launches massive 47 million emails per day campaign, www.scmagazineuk.com
7. Microsoft orchestrates coordinated takedown of Necurs botnet, באתר ZDNet, ‏10במרץ 2020 (באנגלית).