Kaspersky Lab e CrowdStrike smantellano seconda botnet Hlux/Kelihos


Nella loro continua battaglia contro le botnet e i cyber criminali, gli esperti di Kaspersky Lab, in collaborazione con CrowdStrike Intelligence Team, Dell SecureWorks e i membri di Honeynet Project, hanno smantellato la seconda botnet Hlux (nota anche con il nome di Kelihos). Questa botnet era tre volte più grande della prima botnet Hlux/Kelihos smantellata nel settembre 2011. Dopo solo 5 giorni dall’operazione, Kaspersky Lab aveva già neutralizzato più di 109.000 host infetti. Si stima che la prima botnet Hlux/Kelihos avesse solo 40.000 sistemi infetti. Questa non è la prima volta che Kaspersky Lab opera contro questa botnet.

A settembre 2011, Kaspersky Lab insieme con la Digital Crimes Unit di Microsoft, Surf Net e Kyrus Tech Inc., ha disabilitato con successo la botnet Hlux/Kelihos. In quella occasione, Kaspersky Lab aveva eseguito un’operazione sinkhole, disabilitando la botnet e l’infrastruttura di backup dal C&C. Gli esperti di Kaspersky Lab hanno diffuso una nuova ricerca nel gennaio 2012, che ha rivelato la presenza di una seconda botnet Hlux/Kelihos che agiva in maniera incontrollata.

Nonostante la botnet fosse nuova, il malware era stato costruito utilizzando lo stesso codice della botnet Hlux/Kelihos originale. Il nuovo malware ha mostrato che la seconda botnet era dotata di alcuni aggiornamenti, tra i quali nuovi metodi di infezione e funzionalità Bitcoin.  Come nella prima versione, la botnet utilizzava la sua rete di computer infetti per inviare spam, sottrarre dati personali ed eseguire Distributed Denial of Service (DDoS) contro obiettivi specifici. Durante la settimana del 19 marzo 2012, Kaspersky Lab, CrowdStrike Intelligence Team, Dell SecureWorks e Honeynet Project hanno lanciato un’operazione di sinkholing per lo smantellamento della botnet. 


I paesi con le nuove infezioni Hlux / Kelihos

Entrambe le botnet Hlux/Kelihos erano peer-to-peer (P2P), il che significa che ogni computer della rete svolgeva il ruolo di server e/o client, a differenza delle botnet tradizionali che si basano su un unico server Command&Control (C&C). Per la botnet P2P, il gruppo di esperti di sicurezza ha creato un network globale di computer, che sono stati installati nelle infrastrutture della stessa botnet. Dopo un breve periodo di tempo, il network sinkhole ha aumentato la sua "popolarità" in rete e questo ha permesso a più computer infetti di essere controllati da Kaspersky Lab, evitando ai bot-operator di accedervi.

La botnet è stata quindi indebolita dalla perdita di controllo delle macchine infette da parte dei cyber criminali. Dal 19 marzo, la botnet è diventata inattiva. Grazie al collegamento della maggior parte delle botnet al sinkhole, gli esperti di Kaspersky Lab possono effettuare un data mining per analizzare il numero delle infezioni e la loro posizione geografica. Fino ad oggi Kaspersky Lab ha contato 109.000 indirizzi IP infetti. La maggior parte di questi sono stati rilevati in Polonia.

Per l’ analisi completa visitare gli ultimi post presenti su Securelist all'indirizzo http://bit.ly/HiSYwh. Su questo tema Kaspersky Lab ha organizzato anche una Conference Online http://kaspersky.webinarix.com/2803/. Kaspersky ringrazia CrowdStrike Intelligence Team, Dell SecureWorks e il Honeynet Project per il supporto fornito durante le operazioni. Kaspersky Lab è un’azienda di sicurezza informatica a livello globale fondata nel 1997. La profonda intelligence sulle minacce e l’expertise di Kaspersky Lab si trasformano costantemente in soluzioni di sicurezza e servizi per la protezione di aziende, infrastrutture critiche, enti governativi e utenti privati di tutto il mondo. Per ulteriori informazioni: www.kaspersky.com/it.




Fonte: Kaspersky Lab

Nessun commento:

Posta un commento