El Departamento de Justicia anunció hoy un amplio esfuerzo para interrumpir y desmantelar la botnet Kelihos, una red global de decenas de miles de computadoras infectadas bajo el control de un ciberdelincuente que se utilizó para facilitar actividades maliciosas, incluida la recopilación de credenciales de inicio de sesión, la distribución de cientos de millones de correos electrónicos no deseados y la instalación de ransomware y otro software malicioso.
Fiscal General Adjunto interino Kenneth A. Blanco, de la División Penal del Departamento de Justicia, el Fiscal en Funciones Bryan Schroder, del Distrito de Alaska, el Subdirector Scott Smith, de la División Cibernética del FBI, y el Agente Especial a Cargo del FBI, Marlin Ritzman, de AnchorageDivision, hicieron el anuncio.
» La operación anunciada hoy apuntaba a un esquema internacional en curso que estaba distribuyendo cientos de millones de correos electrónicos fraudulentos al año, interceptando las credenciales a cuentas en línea y financieras pertenecientes a miles de estadounidenses y propagando ransomware a través de nuestras redes. La capacidad de las redes de bots como Kelihos de convertirse rápidamente en armas para realizar vastos y variados tipos de daños es una amenaza peligrosa y profunda para todos los estadounidenses, que impulsa la esencia de la forma en que nos comunicamos, establecemos redes, nos ganamos la vida y vivimos nuestra vida cotidiana», dijo Blanco, Fiscal General Adjunto interino. «Nuestro éxito en la disrupción de la botnet Kelihos fue el resultado de una fuerte cooperación entre expertos de la industria privada y la aplicación de la ley, y el uso de tácticas legales y técnicas innovadoras. El Departamento de Justicia se ha comprometido a combatir la ciberdelincuencia, sin importar el tamaño o la complejidad del plan, y a castigar a quienes cometan esos delitos.»
«El delito cibernético es un problema mundial, pero que infecta a sus víctimas directamente a través de las computadoras y los dispositivos electrónicos personales que usamos todos los días», dijo el Fiscal interino de los Estados Unidos Bryan Schroder para el Distrito de Alaska. «Proteger al pueblo estadounidense de una amenaza mundial de este tipo requiere una respuesta de amplio alcance, y el desmantelamiento de la botnet Kelihos fue una operación de este tipo. Tenemos la suerte de contar con talentosos agentes del FBI y fiscales federales con las habilidades para ayudar a proteger a los estadounidenses de este delito cibernético generalizado.»
«El 8 de abril de 2017, comenzamos la extraordinaria tarea de bloquear dominios maliciosos asociados con la botnet Khelios para prohibir nuevas infecciones», dijo el Agente Especial del FBI a cargo de Ritzman. «Este caso demuestra el compromiso del FBI de encontrar y erradicar las amenazas cibernéticas sin importar en qué parte del mundo se encuentren.»
El malware Kelihos está dirigido a equipos que ejecutan el sistema operativo Microsoft Windows. Las computadoras infectadas se convirtieron en parte de una red de computadoras comprometidas conocidas como botnet y se controlaban de forma remota a través de un sistema de comando y control descentralizado. According to the civil complaint, Peter Yuryevich Levashov allegedly operated the Kelihos botnet since approximately 2010. El malware Kelihos recopiló las credenciales de los usuarios al buscar nombres de usuario y contraseñas en los equipos infectados e interceptar el tráfico de red. Levashov supuestamente utilizó la información obtenida de esta operación de recolección de credenciales para promover su operación de spam ilegal que anunciaba en varios foros criminales en línea. La botnet Kelihos generaba y distribuía enormes volúmenes de correos electrónicos basura no solicitados que anunciaban medicamentos falsificados, promocionaban de forma engañosa las existencias para aumentar fraudulentamente su precio (los llamados esquemas de fraude de existencias de «bombeo y descarga»), estafas de trabajo en el hogar y otros fraudes. Kelihos también fue responsable de la instalación directa de malware adicional en las computadoras de las víctimas, incluido el ransomware y el malware que intercepta las contraseñas de las cuentas bancarias de los usuarios.
Al igual que con otras redes de bots, Kelihos está diseñado para funcionar automáticamente y sin ser detectado en los equipos de las víctimas, con el código malicioso enviando secretamente solicitudes de instrucciones al operador de la red de bots. Para liberar a las computadoras de la víctima de la red de bots, los Estados Unidos obtuvieron órdenes judiciales civiles y penales en el Distrito de Alaska. Estas órdenes autorizaban medidas para neutralizar la botnet Kelihos mediante (1) el establecimiento de servidores sustitutos que reciben las solicitudes automatizadas de instrucciones para que los ordenadores infectados ya no se comuniquen con el operador criminal y (2) el bloqueo de cualquier comando enviado por el operador criminal que intente recuperar el control de los ordenadores infectados.
Al solicitar autorización para interrumpir y desmantelar la botnet Kelihos, las fuerzas del orden obtuvieron una orden judicial de conformidad con las recientes enmiendas a la Regla 41 de las Reglas Federales de Procedimiento Penal. A continuación se presenta una copia de esta orden junto con las otras órdenes judiciales. The warrant obtained by the government authorizes law enforcement to redirect Kelihos-infected computers to a substitute server and to record the Internet Protocol addresses of those computers as they connect to the server. Esto permitirá al gobierno proporcionar las direcciones IP de las víctimas de Kelihos a quienes puedan ayudar a eliminar el malware de Kelihos, incluidos los proveedores de servicios de Internet.
Los esfuerzos para desbaratar y desmantelar la botnet Kelihos fueron dirigidos por la Oficina de Anchorage del FBI y la Oficina de New Haven; los Abogados sénior Ethan Arenson y Harold Chun, y el Abogado Litigante Frank Lin de la Sección de Delitos Informáticos y Propiedad Intelectual; y los Fiscales Adjuntos Yvonne Lamoureux y Adam Alexander del Distrito de Alaska. Socios extranjeros también prestaron asistencia crítica, y Crowd Strike y Shadow server Foundation prestaron una asistencia técnica inestimable para la ejecución de esta operación.
Los detalles contenidos en la demanda civil y los alegatos relacionados son meras acusaciones, y el acusado se presume inocente a menos que se demuestre su culpabilidad y hasta que se demuestre su culpabilidad.
El Gobierno ha compartido y continuará compartiendo muestras del malware Kelihos con la comunidad de seguridad de Internet para que los proveedores de antivirus puedan actualizar sus programas para detectar y eliminar Kelihos. Una serie de programas antivirus gratuitos y de pago ya son capaces de detectar y eliminar Kelihos, incluido el escáner de seguridad de Microsoft, un producto gratuito.
