Стало известно, что ботнет Dridex, до этого годами специализировавшийся на распространении банкеров, решил переориентироваться на программы-вымогатели. Первыми об этом доложили исследователи из Palo Alto Networks, которые еще в середине февраля отметили, что ботнет перестал раздавать одноименный банкер, жертвами которого стали тысячи человек.

Однако ботнет не простаивает без дела и теперь используется для распространения нового и опасного вида вымогателя, который получил незамысловатое название Locky — по имени расширения, которое шифровальщик добавляет к файлам.

Ботоводы Dridex занимаются распространением зловредов с 2014 года, а некоторые из них — еще со времен Gameover Zeus. Их новый подопечный, Locky, уже поразил многие цели по всему миру и может по праву считаться таким же результативным криптоблокером, как TeslaCrypt или CryptoWall.

Исследователи полагают, что в феврале операторы Dridex проводили «пробный запуск» новой полезной нагрузки и в дальнейшем планируют полностью переориентироваться на распространение вымогателей.

Как поведали представители Trustwave SpiderLabs, за последнюю неделю их системы защиты зафиксировали 4 млн вредоносных спам-сообщений, что составило 18% от общего количества спама. Эксперты при этом отметили, что большая часть вредоносного спама поступила с ботнета Dridex. К сообщениям был прикреплен ZIP-архив, содержащий файл JS, при запуске которого загружается и исполняется Locky. Спам-рассылок, заряженных Dridex, с этого ботнета Trustwave уже не наблюдает.

Возможно, киберпреступники решили больше не тягаться с банками после поимки и экстрадиции молдаванина Андрея Гинкула — 30-летнего ботовода, предположительно стоящего во главе операций Dridex. Вместо этого они используют существующие ресурсы для дистрибуции вредоносного ПО, более быстро окупающего инвестиции.

Как считают эксперты, инфраструктура Dridex будет использоваться и для других операций, пока все члены группировки не будут арестованы, а ботнет — ликвидирован.

Категории: Вредоносные программы, Спам