{"id":1173464,"date":"2024-02-07T18:02:25","date_gmt":"2024-02-07T18:02:25","guid":{"rendered":"https:\/\/teknomers.com\/es\/despues-del-derribo-del-fbi-los-operadores-de-kv-botnet-cambian-de-tactica-en-un-intento-de-recuperarse\/"},"modified":"2024-02-07T18:02:29","modified_gmt":"2024-02-07T18:02:29","slug":"despues-del-derribo-del-fbi-los-operadores-de-kv-botnet-cambian-de-tactica-en-un-intento-de-recuperarse","status":"publish","type":"post","link":"https:\/\/teknomers.com\/es\/despues-del-derribo-del-fbi-los-operadores-de-kv-botnet-cambian-de-tactica-en-un-intento-de-recuperarse\/","title":{"rendered":"Despu\u00e9s del derribo del FBI, los operadores de KV-Botnet cambian de t\u00e1ctica en un intento de recuperarse"},"content":{"rendered":"


\n<\/p>\n

\n
<\/a><\/div>\n

Los actores de amenazas detr\u00e1s del botnet KV<\/strong> realiz\u00f3 “cambios de comportamiento” en la red maliciosa cuando las fuerzas del orden estadounidenses comenzaron a emitir comandos para neutralizar la actividad.<\/p>\n

KV-botnet es el nombre que se le da a una red de enrutadores y dispositivos de firewall para peque\u00f1as oficinas y oficinas dom\u00e9sticas (SOHO) en todo el mundo, con un cl\u00faster espec\u00edfico que act\u00faa como un sistema encubierto de transferencia de datos para otros actores patrocinados por el estado chino, incluido Volt Typhoon. (tambi\u00e9n conocido como Silueta de Bronce, Insidious Taurus o Vanguard Panda).<\/p>\n

Activo desde al menos febrero de 2022, fue documentado por primera vez por el equipo de Black Lotus Labs en Lumen Technologies a mediados de diciembre de 2023. Se sabe que la botnet comprende dos subgrupos principales, a saber. KV y JDY, este \u00faltimo utilizado principalmente para escanear objetivos potenciales para reconocimiento.<\/p>\n

A fines del mes pasado, el gobierno de EE. UU. anunci\u00f3 un esfuerzo de interrupci\u00f3n autorizado por el tribunal para derribar el cl\u00faster KV, que generalmente est\u00e1 reservado para operaciones manuales contra objetivos de alto perfil elegidos despu\u00e9s de un escaneo m\u00e1s amplio a trav\u00e9s del subgrupo JDY.<\/p>\n

\"La<\/a><\/center><\/div>\n

Ahora, seg\u00fan nuevos hallazgos de la empresa de ciberseguridad, el grupo JDY permaneci\u00f3 en silencio durante aproximadamente quince d\u00edas despu\u00e9s de su divulgaci\u00f3n p\u00fablica y como subproducto de la iniciativa de la Oficina Federal de Investigaciones (FBI) de EE. UU.<\/p>\n

“A mediados de diciembre de 2023, observamos este grupo de actividad que rondaba los 1.500 bots activos”, dijo el investigador de seguridad Ryan English. “Cuando tomamos una muestra del tama\u00f1o de este grupo a mediados de enero de 2024, su tama\u00f1o se redujo a aproximadamente 650 robots”.<\/p>\n

Dado que las acciones de eliminaci\u00f3n comenzaron con una orden firmada emitida el 6 de diciembre de 2023, es justo suponer que el FBI comenz\u00f3 a transmitir comandos a enrutadores ubicados en los EE. UU. en alg\u00fan momento en esa fecha o despu\u00e9s para borrar la carga \u00fatil de la botnet y evitar que volvieran a ser utilizados. -infectado.<\/p>\n

“Observamos que los operadores de botnet KV comenzaron a reestructurarse, realizando ocho horas seguidas de actividad el 8 de diciembre de 2023, casi diez horas de operaciones el d\u00eda siguiente, el 9 de diciembre de 2023, seguidas de una hora el 11 de diciembre de 2023”, Lumen dicho<\/a> en un informe t\u00e9cnico compartido con The Hacker News.<\/p>\n

\"\"<\/a><\/div>\n

Durante este per\u00edodo de cuatro d\u00edas, se vio al actor de amenazas interactuando con 3045 direcciones IP \u00fanicas asociadas con NETGEAR ProSAFE (2158), Cisco RV 320\/325 (310), c\u00e1maras IP Axis (29) y enrutadores DrayTek Vigor (17). y otros dispositivos no identificados (531).<\/p>\n

Tambi\u00e9n se observ\u00f3 a principios de diciembre de 2023 un aumento masivo en los intentos de explotaci\u00f3n del servidor de carga \u00fatil, lo que indica los probables intentos del adversario de volver a explotar los dispositivos cuando detectaron que su infraestructura se desconectaba. Lumen dijo que tambi\u00e9n tom\u00f3 medidas para anular la ruta de otro conjunto de servidores de respaldo que comenzaron a funcionar aproximadamente al mismo tiempo.<\/p>\n

\"Botnet<\/a><\/div>\n

Vale la pena se\u00f1alar que se sabe que los operadores de la botnet KV realizan su propio reconocimiento y selecci\u00f3n de objetivos y, al mismo tiempo, apoyan a m\u00faltiples grupos como Volt Typhoon. Curiosamente, las marcas de tiempo asociadas con la explotaci\u00f3n de los bots se correlacionan con las horas de trabajo en China.<\/p>\n

“Nuestra telemetr\u00eda indica que hubo conexiones administrativas en los servidores de carga \u00fatil conocidos desde direcciones IP asociadas con China Telecom”, dijo a The Hacker News Danny Adamitis, ingeniero principal de seguridad de la informaci\u00f3n en Black Lotus Labs.<\/p>\n

\"Botnet<\/a><\/div>\n

Es m\u00e1s, el comunicado del Departamento de Justicia de EE.UU. descrito<\/a> la botnet est\u00e1 controlada por “hackers patrocinados por el estado de la Rep\u00fablica Popular China (RPC)”.<\/p>\n

Esto plantea la posibilidad de que la botnet “fue creada por una organizaci\u00f3n que apoya a los hackers del Volt Typhoon; mientras que si la botnet fue creada por Volt Typhoon, sospechamos que habr\u00edan dicho actores ‘estado-naci\u00f3n'”, a\u00f1adi\u00f3 Adamitis.<\/p>\n

Tambi\u00e9n hay indicios de que los actores de amenazas establecieron un tercer cl\u00faster de botnet relacionado pero distinto, denominado x.sh, ya en enero de 2023, que est\u00e1 compuesto por enrutadores Cisco infectados mediante la implementaci\u00f3n de un shell web llamado “fys.sh”, como lo destac\u00f3 SecurityScorecard la \u00faltima vez. mes.<\/p>\n

\"La<\/a><\/center><\/div>\n

Pero dado que la botnet KV es s\u00f3lo “una forma de infraestructura utilizada por Volt Typhoon para ofuscar su actividad”, se espera que la reciente ola de acciones impulse a los actores patrocinados por el estado a presumiblemente hacer una transici\u00f3n a otra red encubierta para cumplir con sus objetivos estrat\u00e9gicos. objetivos.<\/p>\n

“Un porcentaje significativo de todos los equipos de red utilizados en todo el mundo funciona perfectamente bien, pero ya no cuenta con soporte”, dijo English. “Los usuarios finales tienen una elecci\u00f3n financiera dif\u00edcil cuando un dispositivo llega a ese punto, y muchos ni siquiera son conscientes de que un enrutador o firewall est\u00e1 al final de su vida \u00fatil.<\/p>\n

“Los actores de amenazas avanzadas son muy conscientes de que esto representa un terreno f\u00e9rtil para la explotaci\u00f3n. Reemplazar los dispositivos no compatibles es siempre la mejor opci\u00f3n, pero no siempre es factible”.<\/p>\n

“La mitigaci\u00f3n implica que los defensores agreguen sus dispositivos perif\u00e9ricos a la larga lista de aquellos que ya tienen que parchear y actualizar con la mayor frecuencia posible, reiniciar los dispositivos y configurar soluciones EDR o SASE cuando corresponda, y vigilar las grandes transferencias de datos fuera de la red. La geocerca no es una defensa en la que confiar, cuando el actor de la amenaza puede saltar desde un punto cercano”.<\/p>\n

<\/p>\n

\u00bfEncontr\u00f3 interesante este art\u00edculo? Siga con nosotros Gorjeo \uf099<\/i><\/a> y LinkedIn<\/a> para leer m\u00e1s contenido exclusivo que publicamos.<\/div>\n<\/div>\n