Мир: Ботнет Kelihos/Hlux значительно сократился в размерах

0

По оценке “Лаборатория Касперского”, в настоящее время в состав ботнета-спамера Hlux, он же Kelihos, входят порядка 1 тыс. активных пиров (IP-адресов). Большинство зараженных машин работают под Windows XP, около половины имеют польскую прописку. Оценка произведена по результатам мониторинга подключений к sinkhole-серверу “Лаборатории”, внедренному в бот-сеть в марте прошлого года.


Как показывает статистика, размеры Hlux/Kelihos резко сократились уже к июлю 2012 г. “Ботнет становится всё меньше и меньше, – констатирует эксперт “Лаборатории Касперского” Стефан Ортлоф, – жертвы со временем вылечили свои компьютеры или переустановили ОС. В настоящий момент мы фиксируем в среднем около 1000 уникальных ботов в месяц”. Напомним: в сентябре 2011 г., при первой совместной попытке ликвидации Hlux, “лаборанты” насчитали в его составе 49 тыс. уникальных IP-адресов, в марте 2012-го, в ходе второго “штурма”, – свыше 110 тыс.

По данным “Лаборатории”, в настоящее время более 86% активных ботов Hlux работают под Windows XP, около 15% ? под Windows Server 2008. Соответствующие заражения обнаружены в 88 странах, в этом рейтинге с заметным отрывом лидирует Польша (44%). Поток нелегитимных сообщений, генерируемых Hlux, тоже заметно сократился. Согласно статистике Trustwave, которая исправно отслеживает производительность ботнетов-спамеров, в минувшем мае на долю Hlux приходилось около 60% почтового мусора, в июле – 17%, а в начале ноября лишь 7,6%.

Как уже неоднократно отмечалось, р2р-ботнеты обладают повышенной живучестью. Hlux, обладающий развитой пиринговой инфраструктурой, уже пережил несколько попыток свержения и каждый раз восставал в новом обличье. В 2011 г. такая акция с применением sinkholing была проведена силами Microsoft, “Лаборатории Касперского” и Kyrus Tech. Ботоводы сразу начали строить новую сеть, а прежняя и доныне находится под контролем “лаборантов”. В следующем году “Лаборатория Касперского” объединилась с CrowdStrike, the Honeynet Project и Dell SecureWorks против Hlux-2. Через 20 минут после перехвата контроля над бот-сетью появился Hlux-3.

В 2013 г. попытку нейтрализации Hlux вживую продемонстрировал на конференции RSA Тиллман Вернер (Tillmann Werner) из CrowdStrike. К этому времени одноименный зловред в дополнение к своему основному функционалу, рассылке спама, уже научился также красть все, что может представлять интерес для киберкриминала, от персональных идентификаторов до кошельков Bitcoin. Минувшим летом некоммерческая организация Malware Must Die объявила о нейтрализации 97 доменов, задействованных в схеме распространения Hlux, точнее, его DGA-версии. Спустя месяц эксперты стали свидетелями очередного нововведения: зловред начал использовать общедоступные черные списки для проверки репутации своих IP-адресов. Очевидно, повелители Hlux стремятся всеми силами удержать его тающую армию на плаву, хотя не исключено, что у них в рукаве еще есть сюрпризы, которые со временем всплывут во вредоносном спаме. (Касперский/NovostIT)