News

Vigilando la red P2P de Kido-Conficker

Mientras analizábamos el comportamiento de la red Kido, desarrollamos una aplicación que nos ayudó a comprender en detalle las comunicaciones peer-to-peer del malware, que se han utilizado para distribuir las actualizaciones en la última semana. En un periodo de observación de 24 horas hemos podido identificar 200652 IPs únicas participando en la red, mucho menos que las que estimaban los conteos iniciales de las infecciones de Kido.

Esto se debe en especial al hecho de que sólo las últimas variantes de Kido participan en la red peer-to-peer y sólo una fracción de los nodos infectados con nodos de variantes anteriores se han actualizado con nuevas variantes.

En cuestiones de distribución global, estamos viendo la figura prevista por los primeros conteos de la infección. Brasil y Chile sobresalen en el recuento de ordenadores que forman parte de la red P2P:

Sin embargo, parece que ninguna región se salva de este problema en todo el mundo. La densidad de puntos de un país particular no representa el recuento de la infección debido a que la resolución del IP a la base de datos de GeoLocation que se usa es variable:

Un vistazo más cercano a los Estados Unidos revela que las partes este de los EEU tienen más nodos peer-to-peer que la parte oeste:

Un hecho interesante al observar la red es que se puede identificar el centro de la red (que está bien conectada) en poco tiempo debido al gran caché peer que mantiene cada nodo. En los primeros 20 minutos, notamos que el 10,4% de la población total de peers no mostró el crecimiento exponencial que se habría esperado de cachés peer más pequeñas.

Por lo tanto se puede asumir que una vez que un nodo se encuentra con algún otro nodo infectado que ya está conectado a la red, puede mantener una conectividad estable y las particiones de la red son improbables. Sin embargo, encontrar este primer nodo parece ser bastante difícil para algunos hosts: hemos visto varios nodos que no estaban conectados a ningún otro nodo.

Vigilando la red P2P de Kido-Conficker

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

 

Informes

MosaicRegressor: acechando en las sombras de UEFI

Encontramos una imagen de firmware de la UEFI infectada con un implante malicioso, es el objeto de esta investigación. Hasta donde sabemos, este es el segundo caso conocido en que se ha detectado un firmware malicioso de la UEFI usado por un actor de amenazas.

Dark Tequila Añejo

Dark Tequila es una compleja campaña maliciosa que tiene por objetivo a los usuarios ubicados en México, con el propósito principal de robar información financiera, así como credenciales de acceso a sitios populares que van desde versionado de código fuente a cuentas de almacenamiento de archivos en línea y de registro de dominios web.

De Shamoon a StoneDrill

A partir de noviembre de 2016, Kaspersky Lab observó una nueva ola de ataques de wipers dirigidos a múltiples objetivos en el Medio Oriente. El programa malicioso utilizado en los nuevos ataques era una variante del conocido Shamoon, un gusano que tenía como objetivo a Saudi Aramco y Rasgas en 2012.

Suscríbete a nuestros correos electrónicos semanales

Las investigaciones más recientes en tu bandeja de entrada