+52 81-8349-6925 whatsapp 81-8349-4525 Horario de lunes a viernes de 8:00 am a 18:00 pm
Soporte

Multicomp S.A. de C.V.

Seguridad - Infraestructura y Administración en TI

Por

GoDaddy, OpenDNS y Kaspersky Lab ha conseguido con éxito tomar el control y destruir la comunicación interna de las bots de la mayoría de los dominios para que no lleguen a su destino.

El 28 de mayo de 2012 Kaspersky Lab anunció el descubrimiento de un software malicioso muy sofisticado, conocido como Flame, que fue usado activamente como ciberarma dirigida a instituciones en varios países. Flame fue descubierto por expertos de Kaspersky Lab durante una investigación impulsada por la Unión Internacional de Telecomunicaciones (ITU, por sus siglas en inglés), y el análisis del programa malicioso reveló que se trata de la amenaza más grande y compleja conocida hasta la fecha.

Los análisis de este malware de Kaspersky Lab revelaron que actualmente está siendo usado para el ciberespionaje y que infecta los sistemas para robar datos e información sensible. Los datos robados se enviaron a uno de los servidores C&C (Command & Control) de Flame.

Kaspersky Lab ha estado monitorizando de cerca la infraestructura C&C de Flame y ha publicado hoy una entrada detallada sobre los hallazgos de la investigación en su blog Securelist.

En colaboración con GoDaddy y OpenDNS, Kaspersky Lab ha conseguido con éxito tomar el control y destruir la comunicación interna de las bots para que no lleguen a su destino (operación de sinkholing) de la mayoría de los dominios maliciosos usados por la infraestructura C&C (Command & Control) del virus Flame. Los siguientes detalles resumen los resultados del análisis:

  • La infraestructura Command&Control de Flame que había estado operando durante años, se desconectó inmediatamente después de que Kaspersky Lab revelara el descubrimiento del malware la semana pasada.
  •  Actualmente hay más de 80 dominios utilizados por Flame para servidores C&C y dominios relacionados, que han sido registrados entre 2008 y 2012
  • Durante los últimos 4 años, los servidores que alojaban la infraestructura C&C de Flame, se movieron entre múltiples localizaciones, incluyendo Hong Kong, Turquía, Alemania Polonia, Malasia, Letonia, Reino Unido y Suiza.
  • Los dominios C&C fueron registrados con una impresionante lista de falsas identidades y con una variedad de registradores desde 2008.
  • Según el sinkhole de Kaspersky Lab, los usuarios infectados se registraron en varias regiones: Oriente Medio, Europa, Norteamérica y Asia-Pacífico.
  • Flame parece tener un alto interés en archivos PDF, Office y dibujos de AutoCAD.
  • Los datos cargados en el C&C de Flame se cifran utilizando algoritmos relativamente sencillos. Los documentos robados se comprimen utilizando código abierto y la compresión Zlib PPDM modificado.
  • Windows 7 64 bit, que fue previamente recomendado como solución contra las infecciones con otros tipos de malware, parece ser efectivo con Flame.

En un comunciado, Kaspersky agradece a William MacArthur y a «GoDaddy Network Abuse Department» por su rápida reacción y apoyo excepcional a su investigación, así como al «Equipo de Investigación de Seguridad de OpenDNS», por su «inestimable apoyo».

La semana pasada, Kaspersky Lab contactó con el CERT en varios países para informarles acerca del C&C de Flame, sobre el dominio y direcciones IP de los servidores maliciosos, por lo que a la compañía le gustaría agradecer a todos los que participaron por su apoyo a esta investigación.

Para acceder al análisis completo de Flame, y a todos los detalles técnicos, visite Securelist en www.securelist.com