Recientemente, desde Sophos, documentamos una fuerte caída del spam que parecía estar bajo la influencia de una botnet bien conocida que permanece silenciosa, haciendo que los volúmenes globales de spam cayeran drásticamente.
Esta caída en el spam no parecía ser consecuencia de ninguna acción que hubiéramos llevado a cabo como comunidad de ciberseguridad para disminuir el tamaño de la botnet:
“El motivo por el que [esta red de bots, conocida como Necurs] ha cesado su actividad esta vez, y cuánto tiempo dura este “corte”, se desconoce, pero por supuesto que volverá volúmenes anteriores. [. . .]”.
“También sabemos que el botnet de Necurs no está completamente muerto, simplemente se ha vuelto mucho más silencioso de lo que ya era. En otras palabras, si tu ordenador forma parte de la botnet Necurs, todavía sigue infectado a la espera de instrucciones, y podría recibir un comando para volver a despertar y comenzar de nuevo a enviar spam en un futuro”.
Por lo tanto, podríamos decir que la mayoría de las personas que habían sido infectadas justo antes de que el volumen de spam se desplomara aún siguen infectadas, dejando a los ciberdelincuentes la puerta abierta para volver de nuevo en cualquier momento.
Índice de temas
Regreso al futuro
Ese futuro podría haber llegado ya, puesto que los volúmenes globales de spam han repuntado en las últimas 24 horas de nuevo a la mitad del nivel de los picos mostrados anteriormente.
Hace muy pocos días, el ratio de spam por hora superó en más de cinco puntos la tasa de spam base anterior, lo que hace pensar que los zombis Necurs que estaban “en reposo” y que todavía andan por ahí sueltos sin ser detectados, han sido llamados de nuevo a filas.
Curiosamente, esta vez no se trata de un malware que se esté explotando, sino de un tipo de estafa de la vieja escuela que hacía ya un tiempo que no se veía, principalmente porque no funcionó muy bien en el pasado: el conocido como “pump-and-dump”. Donde en lugar de hacer que los destinatarios de phishing hagan clic en enlaces maliciosos, realizar encuestas dudosas o la apertura de documentos trampa, en este fraude trata sobre la compra de acciones.
¿Qué hacer?
-Si suena demasiado bueno para ser verdad, seguramente no sea cierto.
-Si parece ilegal, posiblemente lo sea.
-Si se trata de un correo electrónico masivo no solicitado que te confía un secreto, tan “sólo” lo sabrás tú y otros 30 millones de beneficiarios.
-Detente y piensa, antes de conectar (o, en este caso, directamente no conectes).
La mejor manera de acabar con una botnet es encontrar y eliminar todos los bots, es decir, los ordenadores infectados en todo el mundo. Es un poco como deshacerse de la basura de nuestras calles, algo trivial si cada uno cumple con su parte, pero se convierte en todo un desafío si dejamos a unos pocos que se encarguen de toda nuestra suciedad. ¿Por qué hoy en día no escaneamos y acabamos con todos estos “zombies” de nuestros ordenadores? ¡Hazte parte de la solución, y no formes más tiempo parte del problema!”.