Kelihos botnet

La botnet Kelihos o Kelihos botnet, también conocida como Hlux, es una botnet principalmente involucrada en spamming y robo de bitcoins.[1]

Historia

[editar]

La botnet Kelihos fue descubierta cerca de diciembre del 2010.[2]​ Los investigadores originalmente sospecharon que habían encontrado una nueva versión de las botnets Storm o Waledac, debido al código fuente y modus operandi similar.[3][4]​ Sin embargo, el análisis de la botnet mostró que era una red nueva con 45000 computadoras infectadas, capaz de enviar un estimado de 4 mil millones de mensajes de spam por día.[5][6]​ En septiembre de 2011[7]Microsoft apagó la botnet en una operación con nombre en código "Operation b79".[5][8]​ Al mismo tiempo, Microsoft presentó cargos civiles contra los acusados Dominique Alexander Piatti, dotFREE Group SRO y 22 John Doe por su sospechado involuramiento en la botnet por la emisión de 3700 subdominios usados por la botnet.[8]​ Estos cargos fueron retirados más tarde cuando Microsoft determinó que los acusados no habían sido controladores intencionales de la botnet.[9]

En enero del 2012, se descubrió una nueva versión de la botnet, a veces referida como Kelihos.b o Version 2,[1][6][7]​ consistente en un estimado de 110000 computadoras infectadas.[1][10]​ Durante el mismo mes que Microsoft presentó cargos contra el ciudadano ruso Andrey Sabelnikov, un ex profesional de seguridad IT, por ser el alegado creador del código fuente de Kelihos botnet.[9][11][12]​ La segunda versión de la botnet fue apagada en marzo del 2012 usando sumideros de DNS de varias empresas privadas.[2][13]

Después del apagado de la segunda versión de la botnet, el 2 de abril surgió lo que parecía ser una nueva versión, aunque hay desacuerdo entre los grupos de investigación si la botnet era simplemente remanentes de la versión 2 deshabilitada o una nueva versión.[14][15]​ Esta versión de la botnet consiste actualmente en un estimado de 70000 computadoras infectadas. La versión Kelihos.c afecta mayormente computadoras a través de Facebook al enviar enlaces de descarga maliciosos a los usuarios del sitio. Una vez clickeado el enlace, se descarga un troyano llamado Fifesoc, que convierte a la computadora en un zombi parte de la botnet.[16]

El 24 de noviembre de 2015, ocurrió un evento en la Kelihos botnet que causó la difusión de falsos positivos de IPs que estaban en la lista negra:[17]

24 de noviembre de 2015, difusión de falsos positivos

Más temprano hoy, un evento a gran escala ocurrió en la botnet Kelihos -por la escala, muchas instalaciones de email verán un incremento en un 20% de spam kelihos y algunas verán su volumen de email entrante crecer hasta en un 500%. Normalmente, esto no es inusual, el CBL/XBL ha estado manejando exitosamente con picos de spam de Kelihos como este, generalmente diarios, durante años. El email supuestamente fue de la Reserva Federal de los EEUU, diciendo algo sobre restricciones en "Pagos online de U.S. Federal Wire y ACH". Esto no solo fue en sí una noticia fraudulenta, sino que también la planilla de Excel (.xls) adjunta contenía instrucciones macro (un downloader) para descargar un virus ejecutable para Windows, más probablemente malware Dyrez o Dridex.

Las reglas de detección inicialmente desplegadas por el CBL desafortunadamente fueron insuficientemente detallas y listaron un número de direcciones IP por error

Una declaración jurada sin sellar del 5 de febrero del 2018, mostró el rol inesperado de Apple en llevar al rey del spam ruso ante la justicia. Peter Levashov supuestamente corría la botnet bajo el alias "Severa", alquilando el acceso a spammers y otros cibercriminales. A pesar de los grandes esfuerzos de Levashov en su anonimidad, los registros de la Corte muestran que agentes federales estaban vigilando su cuenta iCloud desde el 20 de mayo del 2016, canalizando hacia atrás información crucial que llevó a su arresto. La orden federal vigente de iCloud habría dado a las autoridades una pestaña de direcciones IP utilizadas para iniciar sesión en la cuenta, que podrían haberles avisado de sus vacaciones en Barcelona, España, donde fue arrestado a pedido de la policía estadounidense y extraditado a los Estados Unidos para su enjuiciamiento.[18]

Estructura, operaciones y difusión

[editar]

La botnet Kelihos es lo que se conoce como una botnet peer-to-peer, donde los nodos individuales de la botnet son capaces de actuar como servidores de command-and-control para la botnet entera. En botnets tradicionales no peer-to-peer, todos los nodos reciben instrucciones y "trabajo" de un conjunto limitado de servidores - si esos servidores son eliminados o neutralizados, la botnet no recibirá más instrucciones y por lo tanto estará efectivamente apagada.[19]​ Las botnets peer-to-peer busca mitigar ese risgo permitiendo que cualquier nodo pueda enviar instrucciones a la botnet entera, dificultando el apagado de la botnet.[2]

La primera versión de la botnet estuvo involucrada principalmente en ataques de denegación de servicio y spam de correos electrónicos, mientras que la versión 2 agregó la habilidad de robar billeteras Bitcoin, así como un programa usado para minar bitcoins en sí.[2][20]​ Su capacidad de spamming permitió a la botnet difundirse a sí misma mediante el envío de enlaces de malware a los usuarios para infectarlos con un troyano, aunque las versiones posteriores se propagaron principalmente en sitios de redes sociales, en particular a través de Facebook.[14][21]

Referencias

[editar]
  1. a b c Mills, Elinor. «110,000 PC-strong Kelihos botnet sidelined». CNET (en inglés). Consultado el 16 de junio de 2020. 
  2. a b c d «FAQ: Disabling the new Hlux/Kelihos Botnet». securelist.com. Consultado el 16 de junio de 2020. 
  3. «Shadowserver Foundation - Calendar - 2010-12-30». web.archive.org. 1 de enero de 2019. Archivado desde el original el 1 de enero de 2019. Consultado el 16 de junio de 2020. 
  4. «Kelihos Returns: Same Botnet or New Version? | threatpost». web.archive.org. 4 de abril de 2012. Archivado desde el original el 4 de abril de 2012. Consultado el 16 de junio de 2020. 
  5. a b Mills, Elinor. «Microsoft halts another botnet: Kelihos». CNET (en inglés). Consultado el 16 de junio de 2020. 
  6. a b «Kelihos botnet, once crippled, now gaining strength». web.archive.org. 5 de septiembre de 2012. Archivado desde el original el 5 de septiembre de 2012. Consultado el 16 de junio de 2020. 
  7. a b «Security Firms Disable the Second Kelihos Botnet». PCWorld (en inglés). 28 de marzo de 2012. Consultado el 16 de junio de 2020. 
  8. a b kexugit. «Microsoft Neutralizes Kelihos Botnet, Names Defendant in Case». docs.microsoft.com (en inglés estadounidense). Consultado el 16 de junio de 2020. 
  9. a b Gonsalves, Antone (24 de enero de 2012). «Microsoft Says Ex-Antivirus Maker Ran Botnet». CRN. Consultado el 16 de junio de 2020. 
  10. Warren, Tom (29 de marzo de 2012). «Second Kelihos botnet downed, 116,000 machines freed». The Verge (en inglés). Consultado el 16 de junio de 2020. 
  11. «Microsoft suspects ex-antivirus worker of Kelihos botnet creation». IT PRO (en inglés). Consultado el 16 de junio de 2020. 
  12. Keizer, Gregg (24 de enero de 2012). «Accused Kelihos botnet maker worked for two security firms». ITworld (en inglés). Consultado el 16 de junio de 2020. 
  13. «Threatpost | The first stop for security news». threatpost.com (en inglés). Consultado el 16 de junio de 2020. 
  14. a b «CrowdStrike researchers deny that Kelihos has spawned a new version - SC Magazine UK». web.archive.org. 7 de agosto de 2016. Archivado desde el original el 7 de agosto de 2016. Consultado el 16 de junio de 2020. 
  15. «Kelihos zombies erupt from mass graves after botnet massacre». www.theregister.com (en inglés). Consultado el 16 de junio de 2020. 
  16. «Kelihos Botnet Re-emerges, This Time Attacking Social Networks». www.spamfighter.com. Consultado el 16 de junio de 2020. 
  17. «Composite Blocking list». 
  18. Brandom, Russell (5 de febrero de 2018). «Feds tracked down Russian spam kingpin with help from his iCloud account». The Verge (en inglés). Consultado el 16 de junio de 2020. 
  19. «Peer-to-Peer Botnets: Overview and Case Study». static.usenix.org. Consultado el 16 de junio de 2020. 
  20. «Security Companies Take Down Kelihos Botnet of Version 2». www.spamfighter.com. Consultado el 16 de junio de 2020. 
  21. «Bulking and Cutting | Honest Reviews and Expert Tips from MidsizeInsider». MidSizeInsider (en inglés estadounidense). Consultado el 16 de junio de 2020.