Botnet Kelihos
De Wikipedia, la enciclopedia libre
Saltar a navegación Saltar a búsqueda

La botnet Kelihos , también conocida como Hlux , es una botnet involucrada principalmente en el envío de spam y el robo de bitcoins . [1]

Historia

La botnet Kelihos se descubrió por primera vez alrededor de diciembre de 2010 . [2] Los investigadores sospecharon originalmente haber encontrado una nueva versión de la botnet Storm o Waledac , debido a similitudes en el modus operandi y el código fuente del bot, [3] [4] pero el análisis de la botnet mostró que en cambio era una nueva , 45.000 - botnet infectado , resistente al ordenador, capaz de enviar aproximadamente 4.000 millones de mensajes de spam al día. [5] [6] En septiembre de 2011 [7] Microsoft eliminó la botnet en una operación denominada "Operación b79".[5] [8] Al mismo tiempo, Microsoft presentó cargos civiles contra Dominique Alexander Piatti, dotFREE Group SRO y 22acusadosde John Doe por presunta participación en la botnet para emitir 3.700 subdominios que fueron utilizados por la botnet. [8] [9] Estos cargos se retiraron más tarde cuando Microsoft determinó que los acusados ​​nombrados no ayudaron intencionalmente a los controladores de la botnet. [10] [11]

En enero de 2012 se descubrió una nueva versión de la botnet, a la que a veces se hace referencia como Kelihos.b o Versión 2, [1] [6] [7] que consta de unas 110.000 computadoras infectadas. [1] [12] Durante este mismo mes, Microsoft presentó cargos contra el ciudadano ruso Andrey Sabelnikov, un exprofesional de seguridad de TI, por ser el supuesto creador del código fuente Kelihos Botnet . [11] [13] [14] La segunda versión de la botnet en sí fue cerrada por varias empresas privadas en marzo de 2012 al hundirla , una técnica que les dio a las empresas el control sobre la botnet mientras cortaba a los controladores originales.[2] [15]

Tras el cierre de la segunda versión de la botnet, apareció una nueva versión el 2 de abril, aunque existe cierto desacuerdo entre los grupos de investigación sobre si la botnet es simplemente los restos de la botnet versión 2 desactivada o una nueva versión en conjunto. [16] [17] Esta versión de la botnet consta actualmente de aproximadamente 70.000 ordenadores infectados. La versión Kelihos.c infecta principalmente computadoras a través de Facebook al enviar a los usuarios del sitio web enlaces de descarga maliciosos. Una vez que se hace clic, se descarga un caballo de Troya llamado Fifesoc, que convierte la computadora en un zombi , que es parte de la botnet. [18]

El 24 de noviembre de 2015, se produjo un evento de botnet Kelihos que provocó falsos positivos generalizados de direcciones IP incluidas en la lista negra:

″ 24 de noviembre de 2015 Falsos positivos generalizados

Hoy temprano, ocurrió un evento de botnet Kelihos a gran escala: a gran escala, muchas instalaciones de correo electrónico verán más del 20% de spam de kelihos, y algunas verán que su volumen de correo electrónico entrante aumentará hasta en un 500%. Normalmente, esto no es algo inusual, el CBL / XBL ha estado lidiando con éxito con picos de spam de Kelihos a gran escala como este, a menudo a diario, durante años.

El correo electrónico era supuestamente de la Reserva Federal de los EE. UU., Y decía algo sobre las restricciones en los "pagos en línea por transferencia bancaria y ACH de EE. UU.". No solo el aviso en sí era fraudulento, sino que la hoja de cálculo de Excel adjunta (.xls) contenía instrucciones macro (un descargador) para descargar un virus ejecutable de Windows, muy probablemente el malware Dyreza o Dridex.

Lamentablemente, las reglas de detección implementadas inicialmente por CBL no estaban suficientemente detalladas y enumeraban una serie de direcciones IP erróneas ″ [19].

Una declaración jurada revelada el 5 de febrero de 2018 mostró el papel inesperado de Apple en llevar ante la justicia al rey del spam ruso. Peter Levashov presuntamente dirigió la botnet Kelihos bajo el alias "Severa", alquilando el acceso a spammers y otros ciberdelincuentes. Pero a pesar de los importantes esfuerzos de Levashov por mantener el anonimato, los registros judiciales muestran que los agentes federales habían estado vigilando su cuenta de iCloud desde el 20 de mayo de 2016, canalizando información crucial que pudo haber llevado a su arresto. La orden federal permanente de iCloud le habría dado a las autoridades una pestaña activa de direcciones IP utilizadas para iniciar sesión en la cuenta, lo que fácilmente podría haberles avisado de sus vacaciones en Barcelona, ​​España., y fue arrestado a pedido de las fuerzas del orden de los Estados Unidos y extraditado a los Estados Unidos para su enjuiciamiento. [20]

Estructura, operaciones y difusión

La botnet Kelihos es la denominada botnet peer-to-peer , donde los nodos de botnet individuales son capaces de actuar como servidores de comando y control para toda la botnet. En las botnets tradicionales que no son de igual a igual, todos los nodos reciben sus instrucciones y "funcionan" desde un conjunto limitado de servidores; si estos servidores se eliminan o desactivan, la botnet ya no recibirá instrucciones y, por lo tanto, se cerrará de manera efectiva. . [21] Las redes de bots de igual a igual buscan mitigar ese riesgo al permitir que todos los pares envíen instrucciones a toda la botnet, lo que dificulta su cierre. [2]

La primera versión de la botnet estuvo involucrada principalmente en ataques de denegación de servicio y correo no deseado , mientras que la versión dos de la botnet agregó la capacidad de robar billeteras de Bitcoin , así como un programa utilizado para minar bitcoins. [2] [22] Su capacidad de spam permite que la botnet se propague enviando enlaces de malware a los usuarios para infectarlos con un caballo de Troya, aunque las versiones posteriores se propagan principalmente a través de sitios de redes sociales, en particular a través de Facebook. [16] [23] Se puede encontrar una lista más completa del spam de Kelihos en el siguiente artículo de investigación. [24]

Orden de registro de Estados Unidos contra Levashov (sin sellar)

Arresto y extradición

El 2 de febrero de 2018, el Departamento de Justicia de los Estados Unidos anunció que un ciudadano ruso había sido extraditado de España y será procesado en Connecticut por cargos derivados de su presunta operación de la botnet Kelihos. Peter Yuryevich Levashov, de 37 años, también conocido como Pyotr Levashov, [25] Petr Levashov, Peter Severa, Petr Severa y Sergey Astakhov, de San Petersburgo, fue detenido el 7 de abril de 2017 en Barcelona , cuando fue detenido por las autoridades españolas basándose en una denuncia penal y una orden de arresto emitida en el Distrito de Connecticut de los Estados Unidos. [26] El 3 de febrero de 2018, se declaró inocente de los cargos de fraude electrónico y por cable ,piratería , robo de identidad y conspiración después de comparecer ante un juez federal en el estado estadounidense de Connecticut . Permanece detenido. [25] En septiembre de 2018, Levashov se declaró culpable. [27]

Ver también

  • Botnet
  • Spam de correo electrónico
  • Crimen de internet
  • Seguridad de Internet
  • Software malicioso

Referencias

  1. ↑ a b c Mills, Elinor (28 de marzo de 2012). "110.000 botnet Kelihos de PC fuerte marginado" . CNET . Consultado el 28 de abril de 2012 .
  2. ↑ a b c d Ortloff, Stefan (28 de marzo de 2012). "Preguntas frecuentes: deshabilitación de la nueva botnet Hlux / Kelihos" . Securelist.com . Consultado el 19 de mayo de 2020 .
  3. ^ Adair, Steven (30 de diciembre de 2010). "Nueva botnet Fast Flux para las fiestas: ¿Podría ser Storm Worm 3.0 / Waledac 2.0?" . Shadowserver . Consultado el 28 de abril de 2012 .
  4. ^ Donohue, Brian (29 de marzo de 2012). "Kelihos Returns: ¿Misma Botnet o Nueva Versión?" . Threatpost . Archivado desde el original el 4 de abril de 2012 . Consultado el 28 de abril de 2012 .
  5. ↑ a b Mills, Elinor (27 de septiembre de 2011). "Microsoft detiene otra botnet: Kelihos" . CNet . Consultado el 28 de abril de 2012 .
  6. ↑ a b Kirk, Jeremy (1 de febrero de 2012). "Botnet Kelihos, una vez lisiado, ahora ganando fuerza" . Mundo de la red . Archivado desde el original el 5 de septiembre de 2012 . Consultado el 28 de abril de 2012 .
  7. ↑ a b Constantin, Lucian (28 de marzo de 2012). "Las empresas de seguridad desactivan la segunda botnet Kelihos" . PCWorld . Consultado el 28 de abril de 2012 .
  8. ↑ a b Boscovich, Richard (27 de septiembre de 2011). "Microsoft neutraliza la botnet Kelihos, nombra al acusado en el caso" . Microsoft TechNet . Consultado el 28 de abril de 2012 .
  9. ^ Microsoft (26 de septiembre de 2011). "Operación b79 (Kelihos) y versión adicional de septiembre de MSRT" . Microsoft Technet . Consultado el 28 de abril de 2012 .
  10. ^ Latif, Lawrence (27 de octubre de 2011). "Microsoft descarta las acusaciones de la botnet Kelihos contra el propietario del ISP" . El indagador . Archivado desde el original el 30 de octubre de 2011 . Consultado el 28 de abril de 2012 .CS1 maint: URL no apta ( enlace )
  11. ↑ a b Gonsalves, Antone (24 de enero de 2012). "Microsoft dice que Ex-Antivirus Maker Ran Botnet" . Revista CRN . Consultado el 28 de abril de 2012 .
  12. ^ Warren, Tom (29 de marzo de 2012). "Segunda botnet Kelihos derribada, 116.000 máquinas liberadas" . The Verge . Consultado el 28 de abril de 2012 .
  13. ^ Brewster, Tom (24 de enero de 2012). "Microsoft sospecha que un ex trabajador de antivirus de la creación de la botnet Kelihos" . ES PRO . Consultado el 28 de abril de 2012 .
  14. ^ Keizer, Gregg (24 de enero de 2012). "El acusado fabricante de botnets Kelihos trabajó para dos empresas de seguridad | ITworld" . ITworld . Consultado el 28 de abril de 2012 .
  15. ^ Donohue, Brian (28 de marzo de 2012). "Kaspersky derriba la botnet Kelihos nuevamente, pero espera regresar" . ThreatPost . Archivado desde el original el 12 de abril de 2012 . Consultado el 28 de abril de 2012 .
  16. ↑ a b Raywood, Dan (2 de abril de 2012). "Los investigadores de CrowdStrike niegan que Kelihos haya generado una nueva versión: SC Magazine UK" . Revista SC . Consultado el 29 de abril de 2012 .
  17. ^ Leyden, John (29 de marzo de 2012). "Los zombis de Kelihos emergen de las fosas comunes después de la masacre de la botnet" . El registro . Consultado el 28 de abril de 2012 .
  18. ^ SPAMfighter News (13 de abril de 2012). "Kelihos Botnet reaparece, esta vez atacando las redes sociales" . SPAMfighter . Consultado el 28 de abril de 2012 .
  19. ^ http://www.abuseat.org [ se necesita una cita completa ]
  20. ^ "Los federales rastrearon al capo del spam ruso con la ayuda de su cuenta de iCloud" . The Verge . Consultado el 6 de febrero de 2018 .
  21. ^ Grizzard, Julian; David Dagon; Vikram Sharma; Chris Nunnery; Brent ByungHoon Kang (3 de abril de 2007). "Botnets de igual a igual: descripción general y estudio de caso" . El Laboratorio de Física Aplicada de la Universidad Johns Hopkins . Consultado el 28 de abril de 2012 .
  22. ^ SPAMfighter (5 de abril de 2012). "Las empresas de seguridad eliminan la botnet Kelihos de la versión 2" . SPAMfighter . Consultado el 28 de abril de 2012 .
  23. ^ Jorgenson, Petra (6 de abril de 2012). "Kelihos Botnet podría resurgir a través del gusano de Facebook" . Insider de tamaño mediano . Consultado el 29 de abril de 2012 .
  24. ^ Arora, Arsh; Gannon, Max; Warner, Gary (15 de mayo de 2017). "Botnet Kelihos: una saga sin fin" . Conferencia anual de ADFSL sobre forense digital, seguridad y derecho .
  25. ^ a b "Ruso acusado de ejecutar una red de spam extraditado a EE . UU . " . Deutsche Welle . 3 de febrero de 2018 . Consultado el 2 de abril de 2019 .
  26. ^ "Presunto operador de la botnet Kelihos extraditado de España" . www.justice.gov . 2 de febrero de 2018 . Consultado el 3 de febrero de 2018 .
  27. ^ Farivar, Cyrus (13 de septiembre de 2018). "Hombre ruso se declara culpable, admite que dirigió la notoria botnet Kelihos" . ArsTechnica . Consultado el 2 de abril de 2019 .
Obtenido de " https://en.wikipedia.org/w/index.php?title=Kelihos_botnet&oldid=1032627078 "
Contribute a better translation