Hoe Kaspersky Lab en CrowdStrike het tweede Hlux/Kelihos-botnet ontmantelden: een succesverhaal
Moskou/Utrecht, 28 maart 2012 – In hun niet aflatende strijd tegen botnet-exploitanten en cybercriminaliteit hebben de experts van Kaspersky Lab, CrowdStrike Intelligence Team, Dell SecureWorks en leden van het Honeynet Project met succes samengewerkt aan de ontmanteling van het tweede Hlux-botnet (ook wel Kelihos-botnet genoemd). Dit botnet was bijna drie keer zo groot als het oorspronkelijke Hlux/Kelihos-botnet dat in september 2011 onschadelijk werd gemaakt. Kaspersky Lab slaagde erin om in slechts vijf dagen tijd meer dan 109.000 geïnfecteerde hosts te neutraliseren. Het eerste Hlux/Kelihos-botnet omvatte naar schatting slechts 40.000 geïnfecteerde systemen.rn rnHet eerste Hlux/Kelihos-botnetrnDit is niet de eerste keer dat Kaspersky Lab op versies van het Hlux/Kelihos-botnet stuit. In September 2011 werkte Kaspersky Lab met SurfNet, Kyrus Tech Inc. en de Digital Crimes Unit van Microsoft met succes samen aan de ontmanteling van het oorspronkelijke Hlux/Kelihos-botnet. Voor dat doel voerde Kaspersky een ´sinkhole´-procedure uit om het botnet en de reserve infrastructuur van zijn Command & Control-server (C&C) uit te schakelen. rn rnOndanks het feit dat het oorspronkelijke botnet was geneutraliseerd en onder controle was gebracht, publiceerden de experts van Kaspersky Lab in januari 2012 nieuwe onderzoeksresultaten waaruit bleek dat er een tweede Hlux/Kelihos-botnet actief was. Hoewel het om een nieuw botnet ging, was de malware die het gebruikte gebaseerd op dezelfde code als die van het oorspronkelijke Hlux/Kelihos-botnet. Uit de nieuwe malware bleek dat er bij het tweede botnet sprake was van enkele verbeteringen, waaronder nieuwe infectiemethoden en Bitcoin-functies voor het stelen van gegevens en digitaal geld. Net als het oorspronkelijke botnet maakte deze versie gebruik van een netwerk van geïnfecteerde computers om spam te verzenden, persoonlijke gegevens te stelen en gedistribueerde denial of service (DDoS)-aanvallen uit te voeren op specifieke doelwitten.rn rnHoe het tweede Hlux/Kelihos-botnet werd uitgeschakeldrnIn de week van 19 maart van 2012 voerden Kaspersky Lab, het CrowdStrike Intelligence Team, Dell SecureWorks en het Honeynet Project een sinkhole-operatie uit, waardoor het botnet met succes werd uitgeschakeld. Beide versies van het Hlux/Kelihos-botnet waren peer-to-peer (P2P)-botnets. Dit houdt in dat alle computers binnen het botnet netwerk als server en/of client kunnen fungeren, in tegenstelling tot traditionele botnets die gebruikmaken van één C&C-server. Om dit flexibele P2P-botnet te neutraliseren creëerde de groep van beveiligingsexperts een wereldwijd netwerk van computers die de infrastructuur van het botnet infiltreerden. Na een korte periode slaagde dit sinkhole-netwerk erin om zijn ‘populariteit’ binnen het botnet te vergroten, waardoor er steeds meer geïnfecteerde computers onder de controle van Kaspersky Lab kwamen. Hierdoor konden de criminele exploitanten van het botnet de computers niet langer bereiken. Naarmate er meer geïnfecteerde machines worden geneutraliseerd, zorgt de P2P-architectuur ervoor dat de infrastructuur van het botnet als het ware inzinkt: zijn kracht neemt exponentieel af naarmate het de controle over steeds meer computers verliest. rn rnSinds start van de sinkhole-operatie op 19 maart is het botnet niet langer bruikbaar. Aangezien de meerderheid van de computers binnen het botnet met het sinkhole-netwerk verbonden zijn, kunnen de experts van Kaspersky Lab met behulp van data mining het aantal infecties en de geografische locatie van de geïnfecteerde computers bepalen.rn rnTot dusver heeft Kaspersky Lab 109.000 geïnfecteerde IP-adressen geteld. De meerderheid van deze IP-adressen bevindt zich in Polen.rn rnEen volledige analyse van deze ontmantelingoperatie is te vinden op Securelist.rn rnKaspersky Lab wil het CrowdStrike Intelligence Team, Dell SecureWorksen het Honeynet Project graag van harte bedanken voor hun steun tijdens deze operatie.rn rnOver Kaspersky Lab rnKaspersky Lab, opgericht in 1997, is een internationaal softwarebedrijf dat geavanceerde oplossingen levert voor de beveiliging van bedrijfs- en thuisnetwerken tegen internetgerelateerde risico’s als virussen, spam, hackers, crimeware, malware en spyware. De door Kaspersky ontwikkelde technologie wordt wereldwijd toegepast in producten en diensten van vooraanstaande IT-securitybedrijven.rn
rnHet hoofdkantoor van Kaspersky Lab is gevestigd in Moskou, Rusland. Daarnaast heeft het bedrijf regionale kantoren in onder andere de Benelux, Duitsland, Engeland, Frankrijk, Polen, Roemenië, China, Japan, Zuid-Korea en de Verenigde Staten plus een wereldwijd netwerk van ruim vijfhonderd partners.rn
rnVoor meer informatie zie www.kaspersky.com/nl of www.viruslist.com voor het laatste nieuws over internetbeveiliging, alerts, analyses en nieuws, inclusief Kaspersky Virus Scanner.
rnHet hoofdkantoor van Kaspersky Lab is gevestigd in Moskou, Rusland. Daarnaast heeft het bedrijf regionale kantoren in onder andere de Benelux, Duitsland, Engeland, Frankrijk, Polen, Roemenië, China, Japan, Zuid-Korea en de Verenigde Staten plus een wereldwijd netwerk van ruim vijfhonderd partners.rn
rnVoor meer informatie zie www.kaspersky.com/nl of www.viruslist.com voor het laatste nieuws over internetbeveiliging, alerts, analyses en nieuws, inclusief Kaspersky Virus Scanner.
