Исследование

Sinkhole ботнета Hlux / Kelihos: что произошло?

Ещё в марте 2012 мы объединились с Crowdstrike, the Honeynet Project и Dell SecureWorks, чтобы ликвидировать вторую версию ботнета Hlux/Kelihos. Сейчас подошло время рассмотреть, что произошло с этим sinkhole-сервером за 19 месяцев.

Сегодняшняя ситуация совпадает с той, что мы ожидали увидеть. Ботнет становится всё меньше и меньше – жертвы со временем вылечили свои компьютеры или переустановили ОС. В настоящий момент мы фиксируем в среднем около 1000 уникальных ботов в месяц:

Количество уникальных ботов с марта 2012 года
Поскольку ботнет имеет горизонтальную пиринговую архитектуру, до сих пор может существовать независимое подмножество первоначального ботнета, которое ни разу не соединялось с нашим sinkhole-сервером. Однако мы полагаем, что число ботов в таком подмножестве должно уменьшаться со временем, поскольку ботоводы, скорее всего, на них тоже махнули бы рукой и сосредоточились на построении «третьей версии» Hlux.

Большая часть ботов по-прежнему работает под Windows XP.Тем не менее, мы заметили, что некоторые боты работают под  Windows Server 2008:

Распределение ботов по ОС (последние 14 суток)
Большинство зараженных компьютеров находятся в Польше:

Распределение по странам (за последние 14 суток)
Известно, что группа ботоводов Hlux умеет быстро воссоздавать свою незаконную сеть. Также известно, что та же группа стоит за ботнетом Waledac. Полагаем, что об этой группе киберпреступников мы ещё услышим.

Краткий обзор истории ботнета Hlux/Kelihos:

В сентябре 2011 г. мы выполнили первую операцию по ликвидации ботнета Hlux. Ботоводы тогда не стали предпринимать ответных шагов и просто бросили сеть на произвол судьбы (сейчас она под нашим контролем) и сразу же стали строить новый ботнет. Вскоре на экранах радаров появился Hlux-2, и мы опять «внедрили агента» в пиринговую сеть, чтобы получить контроль над ней. И вновь киберпреступники быстро восстановили ботнет – всего через 20 минут на свет появился Hlux-3! В марте 2013 года мы провели новую операцию по ликвидации ботнета. Операция была инициирована и проведена проведена «с ходу» на конференции RSA в 2013 г. нашими друзьями из Crowdstrike.

Sinkhole ботнета Hlux / Kelihos: что произошло?

Ваш e-mail не будет опубликован. Обязательные поля помечены *

 

Отчеты

Не только стилер: бэкдор Gopuram распространялся посредством атаки на цепочку поставок 3CX

В ходе изучения атаки 3CX на одном из компьютеров мы обнаружили файл guard64.dll. Библиотека с таким же именем использовалась в недавних развертываниях бэкдора, который мы назвали Gopuram и отслеживаем с 2020 года.

Таргетированная атака на промышленные предприятия и государственные учреждения

Эксперты Kaspersky ICS CERT выявили волну атак на предприятия и государственные учреждения нескольких стран Восточной Европы и Афганистана. В ходе исследования выявлено вредоносное ПО, ранее использованное в атаках, которые другие исследователи отнесли к APT TA428.

Подпишитесь на еженедельную рассылку

Самая актуальная аналитика – в вашем почтовом ящике