Desmantelada botnet com mais de 109 mil servidores infetados

2 abr 2012 12:51

Este artigo tem mais de 13 anos

Uma investigação com início em janeiro permitiu desmantelar aquela que é a segunda botnet Hlux, também conhecida como Kelihos. Esta tinha o triplo da dimensão da primeira, desativada em setembro, revelaram hoje os especialistas em segurança envolvidos.

Foi desativada uma segunda botnet Hlux (também conhecida como Kelihos), com o triplo do tamanho da primeira rede de computadores zombie infetados com o mesmo malware, que tinha sido desmantelada em setembro.

"Apesar desta botnet ser nova, o malware foi construído com os mesmos códigos da botnet original", afirmam os especialistas em segurança que reclamam o desmantelamento, num comunicado enviado hoje.

Tal como acontecia na primeira versão, também esta utilizou a rede de computadores infetados para enviar spam, roubar dados pessoais, e levar a cabo ataques DDoS junto de alvos específicos.

Desta vez foram desmantelados mais de 109 mil servidores infetados, reportou a Kaspersky, que levou a cabo a operação em colaboração com a divisão de segurança da Dell, a CrowdStrike Intelligence Team e os membros do Honeynet Project.

De acordo com a empresa, a versão inicial da rede de computadores zombie, desativada no verão do ano passado com ajuda da Unidade de Crime Digital da Microsoft, da SURFnet e da Kyrus Tech, tinha afetado 40 mil servidores.

Depois de desativada esta rede, foi dado início a uma investigação em janeiro de 2012, que haveria de culminar no desmantelamento da segunda versão da botnet, numa operação colocada em marcha a 19 de março.

"Ambas as redes eram botnets peer-to-peer (P2P), o que significa que cada membro da rede podia atuar como um servidor e/ou cliente, ao contrário das botnets tradicionais, que se baseiam num só servidor de comando e controlo (C&C). Para neutralizar esta botnet, o grupo de especialistas criou uma rede global de equipamentos distribuídos, que se instalaram na infraestrutura da botnet", explicam num comunicado aos meios.

"À medida que mais máquinas infetadas eram neutralizadas, a arquitetura P2P via a sua força a ser debilitada de forma exponencial, perdendo o controlo dos equipamentos", acrescentam.

Com a maioria das redes de bots ligadas aos servidores sob controlo da Kaspersky, os analistas puderam utilizar os dados que por lá passavam para monitorizar as infeções e sua localização geográfica. Concluíram, por exemplo, que a maioria dos endereços IP infetados se encontra na Polónia.

Escrito ao abrigo do novo Acordo Ortográfico

Joana M. Fernandes