News

La nueva historia de la exitosa clausura de una red zombi – Desmantelamiento de la nueva red zombi Hlux/Kelihos

El pasado septiembre, en colaboración con Microsoft’s Digital Crimes Unit (DCU), SurfNET y Kyrus Tech, Inc., Kaspersky Lab desactivó con éxito la peligrosa red zombi Hlux/Kelihos drenando los equipos infectados hacia un host bajo nuestro control.

Pocos meses después, nuestros investigadores se toparon con otra versión del programa malicioso con importantes cambios en el protocolo de comunicación y nuevas “funciones”, como la infección de unidades de memoria portátil flash-drive y el robo de monederos bitcoin-mining.
Ahora, nos complace anunciar que estamos trabajando junto a CrowdStrike Intelligence Team, Honeynet Project y Dell SecureWorks para desactivar esta nueva red zombi.

La semana pasada, establecimos ordenadores distribuidos por todo el mundo para esta operación de drenaje, y el miércoles 21 de marzo, comenzamos por fin la propagación sincronizada de nuestra dirección IP de drenaje a la red peer-to-peer.

Poco después, aumentó la “popularidad” de nuestra máquina de drenaje en la red, lo que significa que gran parte de la red zombi sólo se comunica con una dirección bajo nuestro control:

Number of unique bots after 24h

Cantidad de bots únicos después de 24 horas

También distribuimos una lista de servidores de trabajo cuidadosamente elaborada. Esto evita que los bots hagan peticiones de nuevos comandos a los ciberdelincuentes que controlan la red. En este momento los bots ya no están bajo su control.

Sin embargo, a las pocas horas de haber comenzado nuestra operación de neutralización, los ciberdelincuentes dueños de la red zombi intentaron tomar contramedidas lanzando una nueva versión de su bot. También notamos que estos ciberpiratas detuvieron el envío de spam y ataques DDoS desde su red. Asimismo, la lista fast-flux-nerwork de la red zombi sigue vacía desde hace unas horas.

Ahora, después de seis días, contamos con más de 116.000 bots conectados a nuestro drenaje.

Number of unique bots after 6 days

Cantidad de bots únicos después de 6 días

Esta es una imagen de las versiones de sistemas operativos:

0"OS-Versions"

Versiones de sistemas operativos

La mayoría de los bots se encuentran en Polonia y en EE.UU.:

Countries with new Hlux/Kelihos infections

Países con nuevas infecciones Hlux/Kelihos

ANTECEDENTES

Para el nuevo bloqueo, los cambios más importantes se encuentran en el protocolo de comunicación. En el nivel más bajo, los ciberdelincuentes cambiaron el orden de la codificación y los métodos de empaquetamiento.

Viejo Hlux Nuevo Hlux
1 Blowfish con llave 1 Blowfish con nueva llave 1
2 3DES con llave 2 Descompresion con Zlib
3 Blowfish con llave 3 3DES con nueva llave 2
4 Descompresion con Zlib Blowfish con nueva llave 3

Tomado de la entrada del blog de María

Obviamente, los autores del programa malicioso cambiaron las llaves de codificación y las llaves RSA usadas para firmar partes del mensaje enviado a través de la red peer-to-peer.

Viejo Hlux Nuevo Hlux
IP del controlador Llave RSA 1 Nueva llave RSA 1
Urls ejecutadas/actualizadas 1 Llave RSA 1 Nueva llave RSA 1
Urls ejecutadas/actualizadas 2 Llave RSA 2 Nueva llave RSA 2

Tomado de la entrada del blog de María

Por último, pero no menos importante, ya no se usa el hashing de los campos de nombre de los mensajes.
También puedes ver Preguntas más frecuentes: Desactivación de la nueva red zombi Hlux/Kelihos

La nueva historia de la exitosa clausura de una red zombi – Desmantelamiento de la nueva red zombi Hlux/Kelihos

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

 

Informes

MosaicRegressor: acechando en las sombras de UEFI

Encontramos una imagen de firmware de la UEFI infectada con un implante malicioso, es el objeto de esta investigación. Hasta donde sabemos, este es el segundo caso conocido en que se ha detectado un firmware malicioso de la UEFI usado por un actor de amenazas.

Dark Tequila Añejo

Dark Tequila es una compleja campaña maliciosa que tiene por objetivo a los usuarios ubicados en México, con el propósito principal de robar información financiera, así como credenciales de acceso a sitios populares que van desde versionado de código fuente a cuentas de almacenamiento de archivos en línea y de registro de dominios web.

De Shamoon a StoneDrill

A partir de noviembre de 2016, Kaspersky Lab observó una nueva ola de ataques de wipers dirigidos a múltiples objetivos en el Medio Oriente. El programa malicioso utilizado en los nuevos ataques era una variante del conocido Shamoon, un gusano que tenía como objetivo a Saudi Aramco y Rasgas en 2012.

Suscríbete a nuestros correos electrónicos semanales

Las investigaciones más recientes en tu bandeja de entrada