Kaspersky Lab y CrowdStrike desmantelan la segunda botnet Hlux/Kelihos Botnet

La nueva botnet triplica el tamaño de la primera versión. Se han neutralizado ya más de 109.000 servidores infectados cuando la primera sólo afectó a 40.000

Kaspersky

1 abril 2012

Esta no es la primera vez que Kaspersky Lab detecta versiones de la botnet Hlux/Kelihos. En septiembre de 2011, Kaspersky Lab junto a la unidad de crimen digital de Microsoft, SURFnet y Kyrus Tech, Inc., desactivaron con éxito la primera versión de la botnet.

Durante este periodo, Kaspersky Lab llevó a cabo una operación de sinkholing (sistema que hace que todas las comunicaciones que hace de "cabeza" al resto de los bots, no lleguen a su destino, destruyendo la comunicación interna y tomando el control) que desactivó la botnet y su infraestructura de backup desde el servidor Command & Control (C&C).

Cómo se ha desactivado la segunda Hlux/Kelihos

Durante la semana del 19 de marzo, se puso en marcha una operación de sinkholing que logró deshabilitar la botnet. Ambas redes eran botnets peer-to-peer (P2P), lo que significa que cada miembro de la red podía actuar como un servidor y/o cliente, a diferencia de las botnets tradicionales que se basan en un único mando y control del servidor C&C. Para neutralizar esta botnet P2P flexible, el grupo de expertos en seguridad ha creado una red global de equipos distribuidos que se han instalado en la infraestructura de la botnet. A medida que más máquinas infectadas se neutralizaban, la arquitectura P2P debilitaba su fuerza de forma exponencial perdiendo el control de los equipos.

Con la mayoría de las redes de bots conectados al sinkholing, los expertos de Kaspersky Lab pueden utilizar la minería de datos para realizar un seguimiento de las infecciones por el número y su ubicación geográfica. Hasta la fecha, Kaspersky Lab ha contado con 109.000 direcciones IP infectadas. La mayoría de las direcciones IP infectadas se encuentra en Polonia.

Loading...