Segurança - Especialista explica por que é difícil combater a botnet Kelihos
Jakub Kroustek, da
Avast, diz que é muito difícil derrubar a botnet, que está na mira do
FBI, já que por ser peer-to-peer, destruí-la pode envenenar a rede
Autor da Foto
O Departamento de Justiça dos EUA iniciou um esforço, por
meio do FBI, para derrubar uma botnet chamada Kelihos, contendo cerca de
100 mil dispositivos, que seria operada pelo russo Peter Yuryevich
Levashov, detido na Espanha no último fim de semana. A Kelihos pode
estar em operação desde 2010, segundo dados levantados pelo FBI, e é
utilizada desde para disparo de campanhas de spam destinadas à
distribuição de malware, incluindo ransomware.
O especialista em cibersegurança Jakub Kroustek, que
comanda a equipe do Threat Lab da Avast, diz que é muito difícil
derrubar a Kelihos. Ele observa que, embora seja possível destruí-la, é
muito difícil destruir botnets grandes. “Com a Kelihos, houve várias
tentativas de derrubar essa botnet no passado, mas ela sempre
reapareceu. Normalmente, as botnets têm um servidor de comando e
controle que lhes envia instruções, mas a Kelihos é uma botnet
peer-to-peer, o que significa que cada dispositivo infectado, ou nó de
rede, é capaz de enviar e receber instruções. Em geral, derrubar uma
botnet peer-to-peer envolve envenenar a rede e 'convencer' os outros
bots a pararem suas ações maliciosas.”
Segundo Kroustek, há muitas coisas que um cibercriminoso
pode fazer com botnets, desde de serem usadas para enviar mensagens de
spam, que podem conter e-mails de phishing com malware para o roubo de
senhas ou dinheiro, até esquemas de “pump-and-dump” que tentam convencer
as pessoas a comprar ações de certas empresas. “Os ataques DDoS também
podem ser realizados usando uma botnet, para tornar uma rede ou um site
indisponível, pelo bombardeio da máquina-alvo com solicitações
simultâneas enviadas de milhares de dispositivos infectados”, explica.
Outras coisas que podem ser feitas com uma botnet, diz
ele, são mineração de criptomoedas, ataques de click-jacking e
distribuição de anúncios falsos. “As botnets muitas vezes não são
utilizadas apenas pela pessoa ou grupo que a criou, mas são alugadas
para outros cibercriminosos”, explica Kroustek.
Ainda de acordo com o especialista, o operador de botnet,
ou botnet máster, pode ser uma só pessoa, mas observa que botnets são
como empresas e, portanto, geralmente controladas por um grupo de
cibercriminosos. “A Kelihos é uma enorme botnet, o que significa que
precisa ser operada, constantemente monitorada, desenvolvida e mantida.
Além disso, a botnet precisa estar em promoções na darknet, para atrair
clientes que vão alugá-la, e é preciso fornecer suporte a esses
clientes.”
--------------------------
outra fonte: http://securityreport.com.br/overview/mercado/como-funciona-botnet-kelihos-e-como-para-la/
O
Departamento de Justiça dos EUA iniciou um esforço, por meio do FBI,
para derrubar uma botnet chamada Kelihos, contendo cerca de 100 mil
dispositivos, que seria operada pelo russo Peter Yuryevich Levashov,
detido na Espanha no último fim-de-semana. A Kelihos pode estar em
operação desde 2010, segundo dados levantados pelo FBI, e é utilizada
para disparo de campanhas de spam destinadas à distribuição de malware,
incluindo ransomware.
O líder da equipe no Threat Lab da Avast, Jakub Kroustek, explica as dificuldades em derrubar a Kelihos.
É possível, mas é muito difícil destruir botnets grandes. Com a Kelihos, houve várias tentativas de derrubar essa botnet no passado, mas ela sempre reapareceu. Normalmente, as botnets têm um servidor de comando e controle que lhes envia instruções, mas a Kelihos é uma botnet peer-to-peer, o que significa que cada dispositivo infectado, ou nó de rede, é capaz de enviar e receber instruções. Em geral, derrubar uma botnet peer-to-peer envolve envenenar a rede e ‘convencer’ os outros bots a pararem suas ações maliciosas.
Há muitas coisas que um cibercriminoso pode fazer. As botnets podem ser usadas para enviar mensagens de spam que podem conter qualquer coisa – desde e-mails de phishing com malware, que pode levar ao roubo de senhas ou dinheiro, até esquemas de ‘pump-and-dump’ que tentam convencer as pessoas a comprar ações de certas empresas. Os ataques DDoS também podem ser realizados usando uma botnet, para tornar uma rede ou um site indisponível, pelo bombardeio da máquina-alvo com solicitações simultâneas enviadas de milhares de dispositivos infectados. Outras coisas que podem ser feitas com uma botnet são mineração de criptomoedas, ataques de click-jacking e distribuição de anúncios falsos. As botnets muitas vezes não são utilizadas apenas pela pessoa ou grupo que a criou, mas são alugadas para outros cibercriminosos. Além disso – Agora afirma-se que ela é operada por um cidadão russo que foi preso na Espanha.
Um operador de botnet ou botnet master pode ser uma só pessoa, mas botnets são como empresas e, portanto, geralmente controladas por um grupo de cibercriminosos. A Kelihos é uma enorme botnet, o que significa que precisa ser operada, constantemente monitorada, desenvolvida e mantida. Além disso, a botnet precisa estar em promoções na darknet, para atrair clientes que vão alugá-la, e é preciso fornecer suporte a esses clientes.
--------------------------
outra fonte: http://securityreport.com.br/overview/mercado/como-funciona-botnet-kelihos-e-como-para-la/
Como funciona a botnet Kelihos e como pará-la?
Segundo Jakub Kroustek, líder da equipe no Threat Lab da Avast, rede possui cerca de 100 mil dispositivos comunicando-se peer-to-peer e, para derrubá-la, é necessário “envenenar” os pares e convencer bots a pararem suas ações
O líder da equipe no Threat Lab da Avast, Jakub Kroustek, explica as dificuldades em derrubar a Kelihos.
É possível destruir totalmente uma botnet tão grande?
É possível, mas é muito difícil destruir botnets grandes. Com a Kelihos, houve várias tentativas de derrubar essa botnet no passado, mas ela sempre reapareceu. Normalmente, as botnets têm um servidor de comando e controle que lhes envia instruções, mas a Kelihos é uma botnet peer-to-peer, o que significa que cada dispositivo infectado, ou nó de rede, é capaz de enviar e receber instruções. Em geral, derrubar uma botnet peer-to-peer envolve envenenar a rede e ‘convencer’ os outros bots a pararem suas ações maliciosas.
O que um cibercriminoso pode fazer com essa botnet?
Há muitas coisas que um cibercriminoso pode fazer. As botnets podem ser usadas para enviar mensagens de spam que podem conter qualquer coisa – desde e-mails de phishing com malware, que pode levar ao roubo de senhas ou dinheiro, até esquemas de ‘pump-and-dump’ que tentam convencer as pessoas a comprar ações de certas empresas. Os ataques DDoS também podem ser realizados usando uma botnet, para tornar uma rede ou um site indisponível, pelo bombardeio da máquina-alvo com solicitações simultâneas enviadas de milhares de dispositivos infectados. Outras coisas que podem ser feitas com uma botnet são mineração de criptomoedas, ataques de click-jacking e distribuição de anúncios falsos. As botnets muitas vezes não são utilizadas apenas pela pessoa ou grupo que a criou, mas são alugadas para outros cibercriminosos. Além disso – Agora afirma-se que ela é operada por um cidadão russo que foi preso na Espanha.
É possível que a botnet esteja sob o controle de apenas uma pessoa ou deve ser um grupo de pessoas?
Um operador de botnet ou botnet master pode ser uma só pessoa, mas botnets são como empresas e, portanto, geralmente controladas por um grupo de cibercriminosos. A Kelihos é uma enorme botnet, o que significa que precisa ser operada, constantemente monitorada, desenvolvida e mantida. Além disso, a botnet precisa estar em promoções na darknet, para atrair clientes que vão alugá-la, e é preciso fornecer suporte a esses clientes.