Spam w odwrocie?

Przeczytaj także: Spam i phishing 2021 r. Na czym żerowali cyberprzestępcy?

Nadawcy spamu przyzwyczaili nas, że w zasadzie nie chodzi im o nic innego niż o to, abyśmy otworzyli załącznik zawierający szkodliwe oprogramowanie, przyczyniając się tym samym do rozprzestrzeniania złośliwego ransomware jak np. Locky lub Dridex. Załączniki, którymi kuszone są ofiary, przeważnie przybierają formę dokumentów Word lub Excel i są powiązane z niebezpiecznymi makrowirusami, a od niedawna także z JavaScriptami (.JS) i plikami skryptowymi Windows (.WSF).

Schemat działania tych plików przeważnie jest podobny - ich uruchomienie poprzez otwarcie załącznika powoduje nawiązanie połączenia z serwerem, co daje cyberprzestępcom możliwość kontrolowania go lub zarażenia próbką lub - jak ma to miejsce coraz częściej - wieloma próbkami malware.

Nie można jednak pominąć milczeniem tego, co w ostatnim czasie okazało się dość zastanawiające. Z obserwacji prowadzonych przez firmę Sophos wynika bowiem, że tuż przed Bożym Narodzeniem 2016 spam zaczął tracić na sile - jego ilość zmniejszyła się o przeszło połowę. Wprawdzie podobne zjawiska obserwowane były już wcześniej, ale tym razem spadek okazał się długotrwały - niski poziom niechcianych wiadomości utrzymuje się już od 2 miesięcy i nic na razie nie wskazuje na to, aby spam szybko miał wrócić na ścieżkę wzrostów.

Poniższy wykres przedstawia poziom spamu widoczny w sieci pułapek spamowych Sophos, aktualizowany codziennie od listopada 2016.
Jak wyraźnie widać, tuż przed Bożym Narodzeniem poziom spamu spadł drastycznie i nie wzrósł znacząco do tamtego momentu. Warty zauważenia jest fakt, że poziom ten rutynowo wzrastał w ciągu tygodnia pracy – należy założyć więc, że nawet cyberprzestępcy nie chcą pracować w weekendy. Aby wykluczyć, niepoprawność danych dostarczonych przez SophosLabs zostały one porównane z ogólnodostępnymi danymi z Composite Blocking List, wykorzystywanymi przez m.in. Spamhaus. Poniższy wykres przedstawia dane z CBL:
Powód spadku ilości spamu nie został jednoznacznie określony, ale wiele dowodów wskazuje na to, że stoi za tym unieszkodliwienie botneta o nazwie Nercus. Jest on uważany za największy botnet w historii, a niektóre szacunki wskazują na to, że jego sieć składa się z 6 milionów zainfekowanych urządzeń. Większość zarażonych komputerów wydaje się być w Indiach, ale niemal w każdym kraju na świecie znajdują się urządzenia zawierające malware od Nercus. Chlubnym wyjątkiem jest Rosja – malware Nercus celowo unika infekowania komputerów skonfigurowanych do używania rosyjskich klawiatur.

Co interesujące, poziom spamu spadł również w czerwcu 2016, ale Nercus wrócił do pełni sił już miesiąc później dostarczając nową wersję Locky. Dlaczego tym razem Nercus został unieszkodliwiony, jak długo potrwa ta „przerwa w spamie” i czy Nercus wróci do pełnej sprawności – nie wiadomo. Pewne jest jednak to, że nie powstrzymało to przestępców do rozprzestrzeniania ransomware’u Locky i innego szkodliwego oprogramowania poprzez rozsyłanie linków-pułapek i zainfekowanych załączników, mimo widocznego globalnego spadku ilości spamu, przedstawionego powyżej. Wiadomo również, że botnet Nercus nie jest całkowicie martwy, jedynie unieszkodliwiony na jakiś czas. Jeśli komputer jest częścią botnetu Nercus, to nadal pozostaje zainfekowany i wciąż otrzymując polecenie, może zacząć rozsyłać spam.

Co to oznacza dla użytkowników sieci?

Aby zabezpieczać się przed szkodliwym oprogramowaniem należy upewnić się, że nasz komputer nie wspiera działań cyber-przestępców. Oznacza to, że należy aktualizować swoje oprogramowanie antywirusowe i instalować kolejne wersje najszybciej, jak to możliwe. Należy również być ostrożnym w momencie otwierania załączników, instalowania programów i otwierania niezaufanych stron internetowych.

Dodatkowo, wszyscy administratorzy systemów, czuwający nad bezpieczeństwem poczty firmowej powinni włączyć skanowanie wysyłanej poczty w celu wykrycia i zablokowania wychodzącego spamu. To zaskakujące, jak wiele firm nie sprawdza wychodzących e-maili, uważając, że jedynie przychodzący spam jest problemem. Jeśli w sieci znajdują się „komputery zombie” powinni o tym wiedzieć – zwłaszcza, że wiele z nich wycelowanych jest we własną firmę, tworząc błędne koło infekcji. Zmniejszenie ilości przychodzącego spamu nie powinno osłabiać czujności użytkowników – przestępcy wciąż szukają nowych sposobów przedostania się do ich komputerów.