Se desploma la actividad del mayor 'botnet' de spam mundial

Según el estudio 'Spam y phishing del primer trimestre de 2017' de Kaspersky Lab, Necurs, el mayor 'botnet' mundial de spam ha mostrado un gran declive en el tráfico de sus correos fraudulentos. En diciembre de 2016, las soluciones antispam de Kaspersky Lab neutralizaron más de 35 millones de envíos, pero en marzo de 2017 el número de envíos cayó hasta apenas 7.000. No obstante, y a pesar de una importante disminución en el número de envíos masivos de correos maliciosos, los cibercriminales están aprendiendo nuevos modos de evitar los filtros y lograr el éxito en sus ataques.

El informe de spam de Kaspersky Lab también ha identificado las siguientes tendencias durante el primer trimestre de este año:

• En el primer trimestre de 2017 la tasa de spam en el tráfico de correo fue del 55,9%, comparado con el 59,9% del cuarto trimestre de 2016.
• La cantidad total de anexos con malware en el tráfico de correo electrónico se redujo en 2,4 veces comparado con el trimestre anterior.
• Más de la mitad de todos los ataques de phishing se dirigieron contra el sector financiero, incluyendo bancos (casi 26%), sistemas de pagos (por encima del 13%) y tiendas online (casi 11%).

En 2016, los investigadores de Kaspersky Lab identificaron un importante aumento en el volumen de spam con anexos maliciosos. La mayoría de este tráfico provenía del ‘botnet’ Necurs, que es considerado como el botnet que genera el mayor volumen de spam del mundo. Sin embargo, a finales de diciembre de 2016, la red prácticamente paró su actividad, y no por las vacaciones de navidad. El spam de este 'botnet' se ha mantenido en un nivel mínimo prácticamente durante todo el primer trimestre de 2017.

Aparentemente, los cibercriminales parece que se han asustado ante la cada vez mayor publicidad sobre los codificadores y han decidido suspender los envíos masivos de correo. Sin embargo, esta decisión no parece que sea suficiente para que este vector de ataque desaparezca.

El spam de este botnet se ha mantenido en un nivel mínimo prácticamente durante todo el primer trimestre de 2017.

Durante el primer trimestre de 2017, los 'spammers' han hecho más complejas sus técnicas de detección. Entre otras fórmulas, los cibercriminales han empaquetado su malware en archivos protegidos con contraseñas. Una vez que el usuario recibe el correo electrónico, los 'spammers' incitan a sus víctimas a abrirlo y a guardarlo de la forma habitual. Diseñan unos correos que simulan ser pedidos de cadenas de grandes almacenes o tiendas, operaciones y CVs, o promesas de grandes sumas de dinero. Muy a menudo, los correos se enviaron en nombre de conocidas empresas, grandes y pequeñas, con toda la información de contacto y detalles dando al remitente una falsa impresión de veracidad.

Una vez que la víctima abre el documento, el script malicioso se activa y procede a descargar el malware en el ordenador. La carga dañina es de todo tipo e incluye desde ransomware, spyware, backdoors o una nueva variante del famoso troyano Zeus.

Los filtros actuales de spam resuelven muy satisfactoriamente el problema de su detección cuando se envían usando correos electrónicos. Esto hace que los spammers busquen nuevos canales que les permitan sortear las barreras. Así, están aumentando su presencia en redes sociales y servicios de mensajería para poder diseminar toda su batería de ofertas fraudulentas y publicidad.

Los mensajes privados se apoyan normalmente en notificaciones de correo electrónico del receptor. En este caso, las cabeceras del correo electrónico se consideran legítimas, al contrario de lo que sucede con el spam tradicional. Esto significa que sólo será posible detectar el spam gracias al análisis del contenido del mensaje, algo mucho más difícil, sobre todo si tenemos en cuenta que la fuente de la información es legal y que la dirección de servicio ha sido añadida a la lista de emisores de confianza del receptor.

“A comienzos de 2017 fuimos testigos de un número importante de cambios en los flujos de spam, incluyendo la abrupta caída en el volumen de correos maliciosos originados por el mayor botnet mundial. Entre estos también hay que mencionar que los actores de riego de spam están avanzando mucho en sus trucos y técnicas anti detección, consiguiendo utilizar plataformas legales de comunicación y anexos protegidos con contraseñas. Esta tendencia seguirá, con documentos protegidos con contraseñas considerados como legítimos a los ojos de las víctimas, más aún cuando estos documentos consiguen evitar el escaneado por parte de la solución de seguridad TI”, afirma Darya Gudkiva, analista de spam en Kaspersky Lab.

Los usuarios domésticos deben utilizar una solución de seguridad capaz de reconocer y bloquear los anexos maliciosos, así como filtrar el spam en las aplicaciones de correo para equipos de sobremesa, como Kaspersky Total Security.

Kaspersky Lab recomienda a las empresas que utilicen soluciones de seguridad que cuenten con una funcionalidad dedicada para spam y anexos maliciosos. Las pequeñas empresas se pueden proteger con la solución Kaspersky Small Office Security, que identifica y bloquea correos con spam. Compañías de mayor tamaño se benefician de la posibilidad de, en tiempo real y apoyadas en la nube, escanear todos los mensajes de los servidores de correo de Microsoft Exchange y en Linux, gracias a la aplicación Kaspersky Security for Mail Server incluida en la solución Kaspersky Total Security for Business.