La panne de près d'un mois de Necurs demeure un mystère. Elle a en tout cas permis une accalmie des campagnes de spam servant à distribuer le ransomware Locky et le cheval de Troie bancaire Dridex. Hélas… Necurs n'est pas mort comme on pouvait le redouter.

Les cybercriminels derrière Necurs ont commencé en début de semaine à diffuser de nouvelles campagnes de spam. Une première reprise d'activité depuis le 31 mai sans néanmoins le plein potentiel du botnet qui contrôlerait quelque 6,1 millions de machines infectées.

Proofpoint estime que les volumes d'emails non sollicités sont à seulement 10 % de ceux observés avant la panne de Necurs. Une montée en puissance est toutefois déjà observée avec de l'ordre de 100 millions d'emails par jour.

Autre mauvaise nouvelle, le retour aux affaires de Necurs se fait avec une variante de Locky qui introduit de nouvelles techniques anti-sandboxing et pour complexifier les analyses. Notamment, elle peut détecter si une exécution a lieu ou pas dans une machine virtuelle, et les attaquants peuvent reloger le code de Locky en mémoire.

Necurs-Locky
La reprise pour Locky se fait via des emails de spam avec en pièce jointe une archive au format zip contenant du code JavaScript.