Moskou/Utecht, 28 maart 2012 – In hun niet aflatende strijd tegen botnet-exploitanten en cybercriminaliteit hebben de experts van
Kaspersky Lab,
CrowdStrike Intelligence Team,
Dell SecureWorks en leden van het
Honeynet Project met succes samengewerkt aan de ontmanteling van het tweede Hlux-botnet (ook wel Kelihos-botnet genoemd). Dit botnet was bijna drie keer zo groot als het oorspronkelijke Hlux/Kelihos-botnet dat in september 2011 onschadelijk werd gemaakt. Kaspersky Lab slaagde erin om in slechts vijf dagen tijd meer dan 109.000 geïnfecteerde hosts te neutraliseren. Het eerste Hlux/Kelihos-botnet omvatte naar schatting slechts 40.000 geïnfecteerde systemen.
Het eerste Hlux/Kelihos-botnet
Dit is niet de eerste keer dat Kaspersky Lab op versies van het Hlux/Kelihos-botnet stuit. In September 2011 werkte Kaspersky Lab met SurfNet, Kyrus Tech Inc. en de Digital Crimes Unit van Microsoft met succes samen aan de
ontmanteling van het oorspronkelijke Hlux/Kelihos-botnet. Voor dat doel voerde Kaspersky een ´sinkhole´-procedure uit om het botnet en de reserve infrastructuur van zijn Command & Control-server (C&C) uit te schakelen.
Ondanks het feit dat het oorspronkelijke botnet was geneutraliseerd en onder controle was gebracht, publiceerden de experts van Kaspersky Lab in januari 2012
nieuwe onderzoeksresultaten waaruit bleek dat er een tweede Hlux/Kelihos-botnet actief was. Hoewel het om een nieuw botnet ging, was de malware die het gebruikte gebaseerd op dezelfde code als die van het oorspronkelijke Hlux/Kelihos-botnet. Uit de nieuwe malware bleek dat er bij het tweede botnet sprake was van enkele
verbeteringen, waaronder nieuwe infectiemethoden en Bitcoin-functies voor het stelen van gegevens en digitaal geld. Net als het oorspronkelijke botnet maakte deze versie gebruik van een netwerk van geïnfecteerde computers om spam te verzenden, persoonlijke gegevens te stelen en gedistribueerde denial of service (DDoS)-aanvallen uit te voeren op specifieke doelwitten.
Hoe het tweede Hlux/Kelihos-botnet werd uitgeschakeld
In de week van 19 maart van 2012 voerden Kaspersky Lab, het CrowdStrike Intelligence Team, Dell SecureWorks en het Honeynet Project een sinkhole-operatie uit, waardoor het botnet met succes werd uitgeschakeld. Beide versies van het Hlux/Kelihos-botnet waren peer-to-peer (P2P)-botnets. Dit houdt in dat alle computers binnen het botnet netwerk als server en/of client kunnen fungeren, in tegenstelling tot traditionele botnets die gebruikmaken van één C&C-server. Om dit flexibele P2P-botnet te neutraliseren creëerde de groep van beveiligingsexperts een wereldwijd netwerk van computers die de infrastructuur van het botnet infiltreerden. Na een korte periode slaagde dit sinkhole-netwerk erin om zijn ‘populariteit’ binnen het botnet te vergroten, waardoor er steeds meer geïnfecteerde computers onder de controle van Kaspersky Lab kwamen. Hierdoor konden de criminele exploitanten van het botnet de computers niet langer bereiken. Naarmate er meer geïnfecteerde machines worden geneutraliseerd, zorgt de P2P-architectuur ervoor dat de infrastructuur van het botnet als het ware inzinkt: zijn kracht neemt exponentieel af naarmate het de controle over steeds meer computers verliest.
Sinds start van de sinkhole-operatie op 19 maart is het botnet niet langer bruikbaar. Aangezien de meerderheid van de computers binnen het botnet met het sinkhole-netwerk verbonden zijn, kunnen de experts van Kaspersky Lab met behulp van data mining het aantal infecties en de geografische locatie van de geïnfecteerde computers bepalen.
Tot dusver heeft Kaspersky Lab 109.000 geïnfecteerde IP-adressen geteld. De meerderheid van deze IP-adressen bevindt zich in Polen.
Een volledige analyse van deze ontmantelingoperatie is te vinden op
Securelist.
Kaspersky Lab wil het
CrowdStrike Intelligence Team,
Dell SecureWorks en het
Honeynet Project graag van harte bedanken voor hun steun tijdens deze operatie.
Over Kaspersky Lab
Kaspersky Lab, opgericht in 1997, is een internationaal softwarebedrijf dat geavanceerde oplossingen levert voor de beveiliging van bedrijfs- en thuisnetwerken tegen internetgerelateerde risico’s als virussen, spam, hackers, crimeware, malware en spyware. De door Kaspersky ontwikkelde technologie wordt wereldwijd toegepast in producten en diensten van vooraanstaande IT-securitybedrijven.
Het hoofdkantoor van Kaspersky Lab is gevestigd in Moskou, Rusland. Daarnaast heeft het bedrijf regionale kantoren in onder andere de Benelux, Duitsland, Engeland, Frankrijk, Polen, Roemenië, China, Japan, Zuid-Korea en de Verenigde Staten plus een wereldwijd netwerk van ruim vijfhonderd partners.
Voor meer informatie zie
www.kaspersky.com/nl of
www.viruslist.com voor het laatste nieuws over internetbeveiliging, alerts, analyses en nieuws, inclusief Kaspersky Virus Scanner.
Noot voor redacties:
Voor hoge resolutie beeldmateriaal en overige informatie kunt u contact opnemen met onderstaande contactpersonen.
Contactgegevens:
Kaspersky Lab
Caroline Breure
Tel. +31 (0)30 – 752 95 00
Caroline.Breure@kaspersky.nl
The Communication Force
Anke van de Vliet
Tel. +31 (0)23 – 56 56 850
ankevdv@communicationforce.com