Ботнет Kelihos/Hlux значительно сократился в размерах

Александр Панасенко 21 Ноября 2013 - 19:10

...

По оценке «Лаборатории Касперского», в настоящее время в состав ботнета-спамера Hlux, он же Kelihos, входят порядка 1 тыс. активных пиров (IP-адресов). Большинство зараженных машин работают под Windows XP, около половины имеют польскую прописку. Оценка произведена по результатам мониторинга подключений к sinkhole-серверу «Лаборатории», внедренному в бот-сеть в марте прошлого года.

Как показывает статистика, размеры Hlux/Kelihos резко сократились уже к июлю 2012 года. «Ботнет становится всё меньше и меньше, ― констатирует эксперт «Лаборатории Касперского» Стефан Ортлоф, ― жертвы со временем вылечили свои компьютеры или переустановили ОС. В настоящий момент мы фиксируем в среднем около 1000 уникальных ботов в месяц». Напомним: в сентябре 2011 года, при первой совместной попытке ликвидации Hlux, «лаборанты» насчитали в его составе 49 тыс. уникальных IP-адресов, в марте 2012-го, в ходе второго «штурма», ― свыше 110 тысяч, передает cybersecurity.ru.

По данным «Лаборатории», в настоящее время более 86% активных ботов Hlux работают под Windows XP, около 15% ― под Windows Server 2008. Соответствующие заражения обнаружены в 88 странах, в этом рейтинге с заметным отрывом лидирует Польша (44%).

Поток нелегитимных сообщений, генерируемых Hlux, тоже заметно сократился. Согласно статистике Trustwave, которая исправно отслеживает производительность ботнетов-спамеров, в минувшем мае на долю Hlux приходилось около 60% почтового мусора, в июле – 17%, а в начале ноября лишь 7,6%.

Как уже неоднократно отмечалось, р2р-ботнеты обладают повышенной живучестью. Hlux, обладающий развитой пиринговой инфраструктурой, уже пережил несколько попыток свержения и каждый раз восставал в новом обличье. В 2011 году такая акция с применением sinkholing была проведена силами Microsoft, «Лаборатории Касперского» и Kyrus Tech. Ботоводы сразу начали строить новую сеть, а прежняя и доныне находится под контролем «лаборантов». В следующем году «Лаборатория Касперского» объединилась с CrowdStrike, the Honeynet Project и Dell SecureWorks против Hlux-2. Через 20 минут после перехвата контроля над бот-сетью появился Hlux-3.

В 2013 году попытку нейтрализации Hlux вживую продемонстрировал на конференции RSA Тиллман Вернер (Tillmann Werner) из CrowdStrike. К этому времени одноименный зловред в дополнение к своему основному функционалу, рассылке спама, уже научился также красть все, что может представлять интерес для киберкриминала, от персональных идентификаторов до кошельков Bitcoin. Минувшим летом некоммерческая организация Malware Must Die объявила о нейтрализации 97 доменов, задействованных в схеме распространения Hlux, точнее, его DGA-версии. Спустя месяц эксперты стали свидетелями очередного нововведения: зловред начал использовать общедоступные черные списки для проверки репутации своих IP-адресов. Очевидно, повелители Hlux стремятся всеми силами удержать его тающую армию на плаву, хотя не исключено, что у них в рукаве еще есть сюрпризы, которые со временем всплывут во вредоносном спаме.

Следующая главная новость »

Подписывайтесь на канал "AM Live" в Telegram, чтобы первыми узнавать о главных событиях и предстоящих мероприятиях по информационной безопасности.

Яков Шпунт 18 Июля 2025 - 11:04

Мошенничество Домашние пользователи Корпорации

Мошенники крадут товары, выдавая себя за ПСК и Ozon

Злоумышленники под видом известных компаний совершили серию крупных краж, оформив закупки с помощью поддельных документов и используя подмену номеров телефонов. Аферисты выдавали себя за представителей легитимных организаций, предъявляли доверенности и добивались отгрузки товара. Используемые ими документы были высокого качества и не вызывали подозрений даже у опытных сотрудников.

Как сообщила «Фонтанка», мошенники оформили несколько крупных заказов от имени Петербургской сбытовой компании (ПСК). В частности, под видом сотрудников ПСК были приобретены 130 комплектов автомобильных шин и 20 тонн сливочного масла.

В обоих случаях за товаром приезжал якобы представитель ПСК и предъявлял доверенности на получение груза. Однако позже выяснилось, что ни почта, ни телефон, ни фамилия человека, забиравшего продукцию, не имели отношения к компании.

Номер телефона, с которого связывались аферисты, в приложении Getcontact отображался как принадлежащий ПСК. Поддельные документы были выполнены на высоком уровне: в случае с «покупкой» масла мошенники даже приложили протокол разногласий к договору, где указали неустойки за нарушение условий хранения продукции.

Между тем ещё в апреле на официальном сайте ПСК появилось предупреждение: «Информируем о новой мошеннической схеме. В адрес юридических лиц поступают письма об организации закупок от имени Петербургской сбытовой компании. Письма направляются с подложного почтового адреса: zakaz.pesc-opt.ru с указанием номеров телефонов, не принадлежащих Петербургской сбытовой компании».

ПСК — не единственная пострадавшая организация. Подобные случаи неоднократно фиксировались в отношении Ozon: от его имени злоумышленники вывозили компьютеры, промышленные пылесосы и стройматериалы в разных регионах страны. При этом также использовались поддельные документы и подменённые номера телефонов.

«Мы знаем о ситуации, при которой некие сторонние лица, представляясь компанией Ozon, обращаются к поставщикам с просьбой предоставить самые разные товары, в том числе с постоплатой, — сообщили изданию в пресс-службе маркетплейса. — Часто мошенники используют схожие по написанию домены и формируют письма-запросы на бланках с логотипом Ozon».

По данным «Фонтанки», на момент публикации ни одной из пострадавших компаний не удалось вернуть ни деньги, ни украденный товар.