Le nom de Necurs ne vous dit peut-être rien mais une corrélation vient d'être confirmée entre cet imposant botnet et un ransomware qui a beaucoup fait parler d'eux au gré de campagnes massives de spam : Locky. Sans compter également la distribution du cheval de Troie bancaire Dridex.

Dans son pistage des botnets, MalwareTech évalue à plus de 6,4 millions le nombre d'adresses IP en rapport avec Necurs. Constitués d'ordinateurs infectés par un rootkit éponyme, Necurs a récemment donné des signes de faiblesse, et a largement perdu de sa capacité de nuisance.

C'est avec cette mystérieuse panne de Necurs que Proofpoint a constaté l'arrêt des campagnes de spam avec Locky et Dridex. Un botnet… ce n'est pas que pour fomenter des attaques par déni de service distribué. Problème technique ou intervention des autorités, l'accalmie ne devrait cependant être que temporaire.

Necurs s'appuie sur des algorithmes dits DGA (Domain generation algorithm) pour générer de manière périodique un grand nombre de noms de domaine qui peuvent être utilisés comme liens avec des serveurs de commande et contrôle. Les bots de Necurs recherchent activement de nouveaux serveurs de commande et contrôle mais sont actuellement dans l'impasse.

L'opérateur du botnet semble en avoir perdu le contrôle. Comme Necurs profite également d'une architecture en P2P, il n'est pas pour autant détruit.