Botnet Kelihos alweer bezig aan wederopstanding

door

Robot Zombies

door

Nieuws - Kelihos lijkt onuitroeibaar. Eerder deze week werd gemeld dat de tweede versie van het botnet, vaak Kelihos-B genoemd, was neergehaald, maar op Facebook gaat de verspreiding gewoon door.

Afgelopen week claimde Kaspersky dat het samen met de CrowdStrike Intelligence Team, het Honeynet project en Dell SecureWorks het tweede Kelihos-botnet had neergehaald. Dat werd gedaan door een aantal computers in te zetten als lokdozen, die gedurende de week steeds meer computers uit het botnet wisten aan te trekken en zo over te nemen. Binnen de eerste 24 uur wist de “sink hole", de lokmachines dus, al meer dan 77.000 besmette pc's uit het botnet onder controle te brengen.

Na zes dagen was de vangt meer dan 116.000 bots die niet meer luisterden naar de Command & Control-servers van de botnetherders. Het grootste deel van het besmette computers bleek in Polen te zitten, gevolgd door de Verenigde Staten. Maar liefst 84 procent van de machines draait op Windows XP.

Kaspersky kraaide victorie

In ieder geval kraaide Kaspersky victorie, maar naar nu blijkt iets te vroeg, net als Microsoft eerder met de eerste versie van Kelihos. Volgens het beveiligingsbedrijf Seculert zijn er zeker 70.000 gebruikers van Facebook geïnfecteerd, waarvan de meesten nog steeds uit Polen en de VS komen. Onduidelijk was of het hier om dezelfde besmette computers ging als het botnet dat Kaspersky zegt neergehaald te hebben, maar volgens CrowdStrike gaat het hier toch om een ander botnet, inmiddels alweer Kelihos-C genoemd.

Zelfde groep criminelen

Volgens Seculert wordt dit “nieuwe" botnet bestuurd door dezelfde groep criminelen als Kelihos-B en kunnen de geïnfecteerde machines die door Kaspersky in de “sink hole" zijn gelokt, weer opnieuw worden besmet door de via Facebook verspreide worm. “Daarom spreken wij liever nog van Kelihos-B in plaats van Kelihos-C", stelt Seculert.

CrowdStrike reageert op de claims van Seculert met de stelling dat dat niet kan, omdat de C&C-servers van Kelihos-B geen contact meer hebben met de gevangen bots en zelfs het “B-protocol" niet meer spreken. De C&C-servers communiceren nu met de worm die Kelihos-C vorm geeft, zegt CrowdStrike. Volgens hen is de C-variant van de worm losgelaten door de criminelen op het moment dat de “sink hole" van Kaspersky ging werken.

Botnet is niet klein te krijgen

De eerste versie van Kelihos werd een half jaar geleden neergehaald door Microsoft, dat toen voor de derde keer victorie claimde van zijn eigen digitale rechercheafdeling in de strijd tegen botnets, na Waledac en Rustock. Maar al snel bleek Microsoft te vroeg de slingers had opgehangen.

In het begin dit jaar werd duidelijk dat Kelihos aan een wederopstanding bezig was, zij het in iets gewijzigde vorm. Microsoft verdedigde zich door te stellen dat het niet het oude botnet was, maar een compleet nieuwe, Kelihos-B. Was het eerste botnet nog 41.000 computers groot, nu gaat het om honderdduizenden besmettingen. Naar nu blijkt lijken het steeds dezelfde aanvallers die met lichte veranderingen het de oorspronkelijke malware steeds nieuwe botnets op de oude infrastructuur vormen.

eerst ▾ Reacties

De reacties worden ingeladen...

Insider naam

 
{$quantity}%

Mijn insider overzicht Uitloggen

Briefcase({$quantity}) Mijn Downloads({$quantity})

Word insider

  • Exclusieve content
  • Achtergrond verhalen
  • Praktische tips

Topbedrijven met ICT vacatures

25 SEPTEMBER: IT INNOVATION DAY
 
dagen
:
 
uren
:
 
min.
:
 
sec.

Webwereld nieuwsbrief

Ontvang dagelijks een overzicht van het laatste ICT-Nieuws in uw mailbox.