Estas órdenes pueden incluir la propia actualización del bot, la descarga de otros ejemplares de malware, el mostrar publicidad al usuario, envío de SPAM o el lanzar ataques de denegación de servicio, entre otras.
¿Cuándo se descubrió la botnet Mariposa?
La primera vez que fue vista esta red de bots fue en Mayo de 2009, fue descubierta por la empresa canadiense Defense Intelligence.
¿Tiene alguna relación con la reciente aparición con Kneber? ¿O con Zeus?
No, no tiene nada que ver, salvo que son botnets. Kneber era una pequeña red de bots construida con el troyano Zeus. Actualmente hay unos cientos de redes basadas en Zeus funcionando en todo el mundo. Hay que tener en cuenta que las primeras variantes de Zeus datan de finales del año 2007, mientras que la botnet Mariposa tiene menos de 1 año.
¿Qué tiene de especial la botnet Mariposa?
Lo más llamativo es que seguramente nos encontramos ante la mayor red de bots de la historia hasta la fecha. Despues de infiltrarnos en la botnet y estudiar sus logs, descubrimos los listados de IPs de los bots, es decir, computadoras infectadas que formaban parte de la red. Eran más de 12 millones.
¿Qué tipo de víctimas eran? (empresas, usuarios domésticos...) ¿De dónde?
Al tratarse de tantas víctimas, ha afectado a todo tipo de usuarios. Cabe destacar que había un gran número de empresas, y hemos encontrado datos de más de la mitad de las 1,000 compañías americanas más importantes.
Estamos hablando de 12 millones 700.000 equipos comprometidos pertenecientes a usuarios domésticos, empresas, agencias gubernamentales y universidades de más de 190 países, y los datos robados van desde información de cuentas bancarias, tarjetas de crédito, nombres de usuarios, passwords, etc.
¿Hay cuantificación de pérdidas económicas?
Las fuerzas de seguridad aún están realizando análisis forenses sobre el material incautado, estudiando la información robada. pero los cálculos preliminares debido al fraude, robos financieros, pérdida de información y costes de limpieza se estiman en millones de dólares.
¿Cuál era la finalidad de los delincuentes que operaban la red de bots Mariposa?
Como en la mayoría de estos casos, había una finalidad económica. Todo estaba basado en diferentes formas de conseguir dinero: alquiler de partes de la botnet, instalación malware, robo de credenciales, ataques DDoS, robo credenciales, etc.
El análisis forense de los discos duros de Netkairo revelaron una compleja red de proveedores, que le ofrecían desde el hackeo de servidores para usar los paneles de control de la red de bots, servicios de encriptación para hacer los bots indetectables por los antivirus, conexiones de redes virtuales privadas anónimas para el manejo de la botnet, etc.
Además, también tenían una compleja red de clientes, dispuestos a pagar por el alquiler de parte de la botnet, tarjetas de crédito robadas, o por la instalación de toolbars.
¿Qué pasa cuando infectan tu computadora?
La computadora pasa a formar parte de la red de bots de Mariposa sin que el usuario lo sepa. Desde ese momento, el equipo queda a merced de los criminales, ya que pueden enviar todo tipo de instrucciones: instalar nuevo malware, lanzar ataques de Denegación de Servicio, etc.
Además el bot tiene características de gusano y es capaz de propagarse a través de redes P2P, mensajería instantánea y dispositivos USB, como MP3 o teléfonos celulares.
¿Qué se ha hecho para luchar contra Mariposa?
Se creó el Mariposa Working Group, del que forman parte Defence Intelligence, el Georgia Institute of Technology y Panda Security, y junto a expertos de seguridad y agencias y cuerpos de seguridad de diferentes países aunamos fuerzas para tratar de eliminar la botnet y llevar a los criminales ante la justicia.
¿Quiénes han sido los responsables?
La Mariposa botnet era operada por un grupo de cibercriminales llamados DDP Team (Días de Pesadilla). Las investigaciones aún están en curso y se están siguiendo pistas en diferentes países.
¿Cómo se ha planteado la investigación? ¿Cómo se logró descubrir a los criminales?
En primer lugar, conseguimos información de los diferentes paneles de control de la botnet. Los principales estaban es España, pero había otros repartidos en diferentes países. El día 23 de Diciembre, en una operación coordinada a nivel mundial, el Mariposa Working Group consiguió cortar el acceso a los paneles de control al DDP Team. El líder de la banda, alias Netkairo, se puso nervioso e intentó entonces a toda costa recuperar el control de alguno de ellos. Normalmente, para conectarse a los paneles de control usaba servicios anónimos de VPN que impedían localizar su ubicación real, pero en una de las ocasiones cometió un error fatal y se conectó directamente desde la computadora de su casa. En una de las ocasiones consiguió recuperar el acceso a uno de los paneles, y a continuación lanzó un ataque de denegación de servicio contra Defense Intelligence utilizando todos los bots que tenía a su disposición. Finalmente, le volvimos a arrebatar el control del servidor, y el 3 de Febrero de 2010 se procedió a su detención.
Netkairo es un joven español de 31 años de edad. Tras su detención, las fuerzas de seguridad incautaron material informático, cuyo análisis forense llevó a localizar a otros 2 componentes de la banda, también españoles: J.P.R. de 30 años, alias “jonyloleante”, y J.B.R., de 25 años, alias “ostiator”. Ambos fueron arrestados el 24 de Febrero de 2010. Las investigaciones siguen en curso, y en las próximas semanas se esperan nuevos arrestos en otros países.
¿Cómo saber si mi computadora forma parte de una de estas redes?
Una de las primeras acciones que Panda Security ha llevado a cabo es contactar con todas las compañías de antivirus, dando acceso a las muestras de los bots para que todos sean capaces de detectarlos, con lo que analizando con cualquier solución antivirus actualizada debería ser suficiente.
¿Cómo podemos saber si hemos sido víctimas y nos han robado información?
Defence Intelligence está intentando contactar organizaciones afectadas. Para averiguar si su organización ha sido comprometida, contacte a Defence Intelligence enviando un correo electrónico a compromise@defintel.com.
Fuente:
Panda Security
Panda Antivirus
www.pandaantivirus.com.ar
Panda ActiveScan 2.0 TM Antivirus Online Gratis y Actualizado al día con la última tecnología:
www.ActiveScan.com.ar
Panda Cloud Antivirus
www.activescan.com.ar/cloudantivirus
Imagen:
Logos/Imágenes MR Respectivas Compañías mencionadas en la noticia.
Portal de Seguridad Informática, Tecnología e Internet
Descargas Antivirus/Antimalware
www.antivirusgratis.com.ar
