News

¿Qué pasó después de que Klux/Kelihos cayera en un “sinkhole”?

En marzo de 2012, nos unimos con Crowdstrike, el Honeynet Project y Dell SecureWorks para desactivar la segunda versión de la red zombi Hlux/Kelihos. Pensamos que ahora sería un buen momento para publicar una actualización sobre lo que ha pasado en aquella trampa conocida como “sinkhole” durante los últimos 19 meses.

Lo que vemos ahora es lo que esperábamos. La red zombi se está reduciendo cada vez más – las víctimas han estado desinfectando o reinstalando sus equipos con el paso del tiempo. Por ahora contamos un promedio de 1.000 bots únicos por mes:

Cantidad de bots únicos desde marzo 2012

Debido al diseño peer-to-peer de la red zombi, todavía podría existir algún subgrupo independiente de la red zombi inicial que jamás se haya conectado con nuestro sinkhole. Pero creemos que la cantidad de bots de ese subgrupo habría evolucionado de modo similar, porque lo más probable es que sus dueños los hayan abandonado para concentrarse en la creación de “Hlux 3”.

La mayoría de los bots siguen funcionando bajo Windows XP. Pero también vimos algunos que se ejecutan en Windows Server 2008:

Sistemas Operativos (últimos 14 días)

La mayoría de los clientes infectados está en Polonia:

Países (últimos 14 días)

El grupo responsable de Hlux se conoce porque suele renovar su infraestructura ilegal con rapidez. Como sabemos que el grupo también es el responsable de la red zombi Waledac, dudamos que esto sea lo último que escuchemos sobre ellos.

Por último, una breve historia de Hlux/Kelihos:

En septiembre de 2011 desactivamos Hlux por primera vez. Los criminales responsables de esa red zombi no se molestaron en tomar medidas al respecto, sólo abandonaron la red zombi (que ahora estaba bajo nuestro control) y comenzaron a construir una nueva. Poco tiempo después, apareció Hlux 2 y lo volvimos a hacer: envenenamos la red p2p para aislarla en un sinkhole. Una vez más, los criminales reconstruyeron su red zombi con rapidez y nació Hlux 3… ¡sólo 20 minutos después! En marzo de 2013, los cibercriminales sufrieron una nueva operación de cierre, realizada en vivo en la Conferencia RSA 2013 por nuestros amigos de Crowdstrike.

¿Qué pasó después de que Klux/Kelihos cayera en un “sinkhole”?

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

 

Informes

MosaicRegressor: acechando en las sombras de UEFI

Encontramos una imagen de firmware de la UEFI infectada con un implante malicioso, es el objeto de esta investigación. Hasta donde sabemos, este es el segundo caso conocido en que se ha detectado un firmware malicioso de la UEFI usado por un actor de amenazas.

Dark Tequila Añejo

Dark Tequila es una compleja campaña maliciosa que tiene por objetivo a los usuarios ubicados en México, con el propósito principal de robar información financiera, así como credenciales de acceso a sitios populares que van desde versionado de código fuente a cuentas de almacenamiento de archivos en línea y de registro de dominios web.

De Shamoon a StoneDrill

A partir de noviembre de 2016, Kaspersky Lab observó una nueva ola de ataques de wipers dirigidos a múltiples objetivos en el Medio Oriente. El programa malicioso utilizado en los nuevos ataques era una variante del conocido Shamoon, un gusano que tenía como objetivo a Saudi Aramco y Rasgas en 2012.

Suscríbete a nuestros correos electrónicos semanales

Las investigaciones más recientes en tu bandeja de entrada