Очевидно, поменялись только операторы ботнета. К примеру, весной текущего года Dridex перепрофилировал свою инфраструктуру для доставки криптовымогателя Locky, оставив позади распространение банковских троянов. Однако новым хозяевам Dridex не везет, специалисты Avira сообщили, что ботнет вновь кто-то взломал и это уже третий случай за последние месяцы.
Исследователи компании Avira пишут, что в последние дни было замечено значительное снижение заражений шифровальщиком Locky. Пытаясь отыскать причину, эксперты обнаружили, что неизвестные лица скомпрометировали основной источник распространения вымогателя – ботнет Dridex. Вредоносный бинарник Locky, который автоматически доставляется на зараженную машину жертвы с серверов ботнета, кто-то изменил. Неизвестные полностью удалили исходные коды вымогателя, подменив их всего двумя словами: «Дурацкий Locky» (Stupid Locky). Очевидно, что это проделали не сами операторы ботнета, а значит, Dridex вновь кто-то взломал.
В феврале 2016 года неизвестный шутник проделал с ботнетом почти то же самое. Тогда Dridex взломали и подменили загрузчик банковского троян Dridex на оригинальную и самую свежую версию инсталлятора бесплатного антивируса Avira.
Еще один похожий инцидент произошел в апреле 2016 года. Тогда в панель управления одного из подконтрольных Dridex ботнетов сумели проникнуть специалисты компании Buguroo. По итогам исследователи опубликовалиинтересный отчет об устройстве бекэнда Dridex, а также сумели собрать много полезной информации.
Специалисты Avira, впрочем, не считают, что новый взлом что-то изменит. Исследователи уверены, что после данного инцидента Locky по-прежнему будет представлять опасность.
«Я не думаю, что киберпреступники проделали все это сами, так как подобные действия могли навредить их репутации и сказаться их на источнике доходов», — пишет аналитик Avira Свен Карлcен (Sven Carlsen). — «Также после этого инцидента я не торопился бы заявлять, что “Locky мертв”. Однако это доказывает, что даже киберпреступники, мастера маскировки, тоже бывают уязвимы».
