Una de las mayores botnets ha tenido una actividad casi nula, según varias empresas de seguridad. Durante años, esta botnet ha distribuido correo spam y malware.

Pero la cantidad de tráfico malicioso proveniente de Necurs ahora se ha reducido a casi nada.

No está claro lo que ha provocado la disminución del tráfico y si volverá a niveles elevados.

Uno de los primeros signos de este comportamiento se observó a principios de este mes cuando los mensajes de correo electrónico de propagación del malware bancario Dridex y ransomware Locky dejaron de circular, justo cuando las muestras fueron analizadas por empresas de seguridad.

Normalmente, millones de mensajes que llevan este software maliciosos se envían todas las semanas, dijo Proofpoint. Sin embargo, la gran cantidad de mensajes se “detuvo” prácticamente la semana pasada. Las investigaciones revelaron que estos mensajes suelen viajar a través de la red de bots Necurs que ha quedado en gran medida fuera de línea.

Rootkit

Se cree que  la botnet Necurs que se compone de alrededor de seis millones de equipos Windows comprometidos, en los cuales la mayoría de sus propietarios desconocen que son víctima de un tipo de malware conocido como rootkit.

El análisis de algunos equipos comprometios parte de Necurs muestra que los sistemas de administración centrales han desaparecido, dijo Proofpoint. "Los datos de varias fuentes demuestran que los equipos de Necurs están buscando activamente un nuevo sistema C&C (Comand and Control), pero no tenemos ninguna evidencia que un equipo central de Necurs retome el control." El sistema de C&C de una botnet sirve para su funcionamiento y coordina la distribución de cualquier spam o malware que son enviados.

Los investigadores de seguridad que monitorean las redes de bots y los grupos que los manejan dijeron que la causa de la desconexión sigue siendo un misterio. "No podemos confirmar que la botnet fue derribada" Joonho Sa, un investigador de FireEye, dijo en el sitio de noticias de tecnología Motherboard.