La que para muchos es la botnet más grande existente en la actualidad (aunque eso a veces sea difícil de corroborar) y una de las más longevas de las que siguen en activo, ha vuelto a cambiar su modelo de negocio tal y como ya ha sucedido en ocasiones anteriores. Al parecer, los delincuentes detrás de esta botnet han decidido meterse de lleno en el mercado de las criptodivisas, posiblemente motivados por el incremento del valor de muchas de ellas con respecto a meses anteriores.
Necurs cambia las acciones por criptodivisas
Si echamos la vista atrás observaremos cómo los delincuentes detrás de esta botnet han ido adaptando su modelo de negocio hacia aquellos que, supuestamente, iban a proporcionarles mayores beneficios. Necurs se hizo famosa en 2016 principalmente por ser la mayor fuente de propagación del ransomware Locky y del troyano bancario Dridex.
Sin embargo, en marzo de 2017 ya comentamos en este blog que los operarios de Necurs habían empezado a probar suerte con una estrategia bastante inusual. Mediante el envío masivo de correo no deseado trataban de conseguir que usuarios inexpertos en operaciones de bolsa mordieran el anzuelo y comprasen acciones sin apenas valor para producir un efecto Pump&dump (aumentar artificialmente el valor de una acción y venderlas cuando estas se encuentren en su máximo).
De esta forma, los delincuentes se aseguraban beneficios de forma sencilla, ya que compraban las acciones a un precio muy bajo y las vendían cuando estas habían multiplicado su valor en poco tiempo, haciendo que su precio volviese a bajar y dejando a muchos inversores novatos con acciones que apenas tenían valor.
Si analizamos la fluctuación del valor de la mayoría de criptodivisas durante los últimos meses, vemos como muchas de ellas han aumentado su valor considerablemente, algo que ha atraído a muchos inversores con y sin experiencia y provocando enormes fluctuaciones en su valor en apenas unas horas.
Además, esta situación ha provocado que las criptomonedas aparezcan constantemente en los medios y que incluso gente que no había oído hablar de ellas hasta hace unas semanas se anime a invertir sus ahorros en este mercado. Esta situación parece haber sido determinante para que los delincuentes vuelvan a dar una vuelta de tuerca al aprovechamiento de la botnet Necurs y, una vez más, añadan un modelo de negocio que puede darles importantes beneficios.
Apostando por criptomonedas minoritarias
Una de las peculiaridades de la botnet Necurs (o más bien de sus operarios) es que suelen tomarse un descanso durante las vacaciones navideñas. Así lo han hecho en años anteriores y casi siempre han vuelto con un nuevo modelo de negocio bajo el brazo. Se ve que el descanso les da para pensar cómo maximizar sus beneficios al regreso de sus vacaciones.
En cualquier caso, el nuevo modelo de negocio es una variación del que utilizaba las acciones de bolsa con poco valor y que operan en los mercados secundarios de algunos países. En este caso, en lugar de apostar por criptodivisas de gran popularidad o valor, los delincuentes han centrado su objetivo en aquellas poco conocidas como Swisscoin. Esta moneda incluso ha tenido su cotización suspendida desde finales de diciembre a mediados de enero, por lo que parece una buena candidata para realizar pruebas, ya que esta nueva campaña de la botnet Necurs comenzó precisamente el 15 de enero.
Si bien esta semana no puede ser tomada como referencia para ver la influencia que haya podido tener esta actividad delictiva por las importantes fluctuaciones en el valor de casi todas las criptomonedas, sería interesante monitorizar su capitalización a medio plazo. De momento no se observan cambios destacables, aunque, como ya hemos dicho, puede que se trate incluso de una prueba y el objetivo sean otras criptodivisas.
Este cambio en la estrategia demuestra que cada vez más delincuentes se están apuntando al carro de las criptomonedas, algo que estamos observando desde hace semanas, por ejemplo, al comprobar el número de detecciones de los códigos de minado no autorizado. Y es que hasta el ransomware ha quedado relegado a un segundo plano y ya no es la opción preferida por los delincuentes para ganar dinero de forma rápida y sencilla. Cuesta de creer viniendo de un año en el que esta amenaza ha provocado tanto revuelo y ha abierto tantos informativos tras los ataques de WannaCry, NotPetya o BadRabbit.
Conclusión
Que los delincuentes detrás de la botnet Necurs hayan decidido adoptar este nuevo modelo de negocio, demuestra la revolución que están suponiendo las criptodivisas a muchos niveles. No es que estas monedas les sean ajenas, puesto que desde 2010 venimos observando casos relacionados con este tema, pero la cantidad y variedad de ataques existentes hoy en día está en máximos históricos, y todo apunta que, al menos durante los primeros meses de 2018, seguiremos viendo esta tendencia entre los primeros puestos de amenazas.