Kaspersky Lab e CrowdStrike desmantelam a segunda botnet Hlux/Kelihos

03 abr 2012
Notícias de Vírus

Na sua contínua luta contra os operadores de botnets e ciber-criminosos de uma maneira geral, os analistas da Kaspersky Lab, em conjunto com a CrowdStrike Intelligence Team, a Dell SecureWorks e os membros do Honeynet Project, conseguiram desmantelar a segunda botnet Hlux (também conhecida como Kelihos). Esta botnet tinha o triplo do tamanho da primeira Hlux/Kelihos, desactivada em Setembro de 2011. A Kaspersky Lab já neutralizou mais de 109.000 sistemas infectados, quando na versão inicial só foram infectados 40.000 hosts.

A primeira botnet Hlux/Kelihos

Esta não é a primeira vez que a Kaspersky Lab detecta versões da botnet Hlux/Kelihos. Em Setembro de 2011, a Kaspersky Lab, em conjunto com a Unidade de Crime Digital da Microsoft, a SURFnet e a Kyrus Tech, Inc., desactivaram com êxito a primeira versão da botnet.

Durante este período, a Kaspersky Lab levou a cabo uma operação de sinkholing (sistema que faz com que a "cabeça" da botnet comunique com o resto dos bots não chegue ao seu destino, destruindo a comunicação interna e assumindo o controlo), que desactivou a botnet e a sua infra-estrutura de backup a partir do servidor Command & Control (C&C).

Apesar de a botnet original estar neutralizada e sob controlo, os analistas da Kaspersky Lab empreenderam uma nova investigação em Janeiro, descobrindo que um segundo Hlux / Kelihos estava a funcionar. Apesar de esta botnet ser nova, o malware foi construído com os mesmos códigos da botnet original. Tal como a primeira versão, a botnet também utilizou a sua rede de computadores infectados para enviar spam, roubar dados pessoais, e levar a cabo ataques DDoS junto de alvos específicos.

Como foi desactivada a segunda Hlux/Kelihos

Durante a semana de 19 de Março, a Kaspersky Lab, a CrowdStrike Intelligence Team, a Dell SecureWorks e o Honeynet Project puseram em marcha uma operação de sinkholing que conseguiu desactivar a botnet.

Ambas as redes eram botnets peer-to-peer (P2P), o que significa que cada membro da rede podia actuar como um servidor e/ou cliente, ao contrario das botnets tradicionais, que se baseiam num só comando e controlo do servidor C&C. Para neutralizar esta botnet P2P flexível, o grupo de especialistas em segurança criou uma rede global de equipamentos distribuídos, que se instalaram na infra-estrutura da botnet. À medida que mais máquinas infectadas eram neutralizadas, a arquitectura P2P via a sua força a ser debilitada de forma exponencial, perdendo o controlo dos equipamentos.

Com a maioria das redes de bots conectada ao sinkholing, os analistas da Kaspersky Lab puderam utilizar os largos volumes de dados para realizar uma monitorização das infecções pelo número e sua localização geográfica. Até à data, a Kaspersky Lab conta 109.000 endereços IP infectados. A maioria dos endereços IP infectados encontra-se na Polónia.

A Kaspersky Lab gostaria de agradecer à CrowdStrike Intelligence Team, à Dell SecureWorks e ao Honeynet Project pelo seu apoio nesta operação.

Para mais informações: http://www.securelist.com/en/blog/208193431/Botnet_Shutdown_Success_Story_again_Disabling_the_new_Hlux_Kelihos_Botnet

Acerca da Kaspersky Lab:

Kaspersky Lab é a maior companhia antivírus da Europa. A Kaspersky Lab proporciona uma das protecções mais imediatas do mundo contra ameaças à segurança informática, incluindo vírus, spyware, crimeware, hackers, phishing e correio spam. A companhia está entre os quatro primeiros fabricantes mundiais de soluções de segurança informática para utilizadores finais. Os produtos e soluções da Kaspersky Lab proporcionam um dos tempos de resposta mais rápidos e níveis de detecção mais elevados da indústria, tanto para utilizadores particulares, pequenas e médias empresas e grandes corporações, como para ou ambiente informático móvel. A tecnologia da Kaspersky® também está incluída em produtos e serviços de outros criadores de soluções de segurança líderes da indústria informática. Leia mais na nossa página www.kaspersky.pt. Para conhecer as últimas novidades em antivírus, antispyware e outros aspectos e tendências em segurança informática, visite www.securelist.com.

© 1997 - 2014 Kaspersky Lab ZAO.

Todos os direitos reservados.