Menú de contenidos Cerrar

Investigación

¿Qué pasó después de que Hlux/Kelihos cayera en un “sinkhole”?

Investigación

lectura de un minuto

Autores

En marzo de 2012, nos unimos con Crowdstrike, el Honeynet Project y Dell SecureWorks para desactivar la segunda versión de la red zombi Hlux/Kelihos. Pensamos que ahora sería un buen momento para publicar una actualización sobre lo que ha pasado en aquella trampa conocida como “sinkhole” durante los últimos 19 meses.

Lo que vemos ahora es lo que esperábamos. La red zombi se está reduciendo cada vez más – las víctimas han estado desinfectando o reinstalando sus equipos con el paso del tiempo. Por ahora contamos un promedio de 1.000 bots únicos por mes:

Cantidad de bots únicos desde marzo 2012

Debido al diseño peer-to-peer de la red zombi, todavía podría existir algún subgrupo independiente de la red zombi inicial que jamás se haya conectado con nuestro sinkhole. Pero creemos que la cantidad de bots de ese subgrupo habría evolucionado de modo similar, porque lo más probable es que sus dueños los hayan abandonado para concentrarse en la creación de “Hlux 3”.

La mayoría de los bots siguen funcionando bajo Windows XP. Pero también vimos algunos que se ejecutan en Windows Server 2008:

Sistemas Operativos (últimos 14 días)

La mayoría de los clientes infectados está en Polonia:

Países (últimos 14 días)

El grupo responsable de Hlux se conoce porque suele renovar su infraestructura ilegal con rapidez. Como sabemos que el grupo también es el responsable de la red zombi Waledac, dudamos que esto sea lo último que escuchemos sobre ellos.

Por último, una breve historia de Hlux/Kelihos:

En septiembre de 2011 desactivamos Hlux por primera vez. Los criminales responsables de esa red zombi no se molestaron en tomar medidas al respecto, sólo abandonaron la red zombi (que ahora estaba bajo nuestro control) y comenzaron a construir una nueva. Poco tiempo después, apareció Hlux 2 y lo volvimos a hacer: envenenamos la red p2p para aislarla en un sinkhole. Una vez más, los criminales reconstruyeron su red zombi con rapidez y nació Hlux 3… ¡sólo 20 minutos después! En marzo de 2013, los cibercriminales sufrieron una nueva operación de cierre, realizada en vivo en la Conferencia RSA 2013 por nuestros amigos de Crowdstrike.

Autores

¿Qué pasó después de que Hlux/Kelihos cayera en un “sinkhole”?

Su dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

 

De los mismos autores

Suscríbete a nuestros correos electrónicos semanales

Las investigaciones más recientes en tu bandeja de entrada

En la misma categoría

    • Últimas publicaciones
    Informes

    BlindEagle vuela alto en LATAM

    Kaspersky proporciona información sobre la actividad y los TTPs del APT BlindEagle. Grupo que apunta a organizaciones e individuos en Colombia, Ecuador, Chile, Panamá y otros países de América Latina.

    MosaicRegressor: acechando en las sombras de UEFI

    Encontramos una imagen de firmware de la UEFI infectada con un implante malicioso, es el objeto de esta investigación. Hasta donde sabemos, este es el segundo caso conocido en que se ha detectado un firmware malicioso de la UEFI usado por un actor de amenazas.

    Suscríbete a nuestros correos electrónicos semanales

    Las investigaciones más recientes en tu bandeja de entrada

    Amenazas

    Amenazas

    Categorías

    Categorías

    Otros sitios

    © 2024 AO Kaspersky Lab. Todos los derechos reservados.

    Suscríbete a nuestros correos electrónicos semanales

    Las investigaciones más recientes en tu bandeja de entrada