Desenmascara.me

How to verify whether a website is legitimate or not?: desenmascara.me

miércoles, 3 de marzo de 2010

Un error fatal

Nervioso tras perder por un tiempo el control de la botnet, le hizo cometer el fallo que llevaría a su detención; conectar directamente al C&C desde su casa en lugar de a través de servicios de VPN anónimos como era habitual. Esa fue la clave para detener a Netkairo tras meses de investigación. Era el responsable de la botnet Mariposa, que controlaba 13 millones de ordenadores en 190 países.

Una operación bien organizada y con estrecha colaboración entre Guardia Civíl, empresas de seguridad informática y proveedores de Internet ha permitido la detención de los dueños de la red. Nada se sabe todavía de los creadores.

Algunos datos curiosos:
  • El informe técnico de la Botnet Mariposa muestra el entorno que permitió el análisis del comportamiento de los bots: Windows XP Pro SP2
  • No importaba el navegador usado: IE (6,7 y 8), firefox, chrome, opera. Disponía de módulos extras para cada uno.
  • Gran parte de los paneles de control estaban hospedados en el dominio sinip.es
  • trinka, alinfiernoya, pillaestenuevoya,  eran algunos de los comandos de control de la botnet.
  • Los principales implicados en la investigación: Defence Intelligence y Panda labs provienen de diferentes ambientes. Mientras el origen de los primeros es la seguridad de la información, panda proviene de la industria de antivirus
  • No lo he visto en ninguna noticia, pero intuyo que los ISPs involucrados han colaborado de manera estrecha facilitando todos los datos necesarios. Algo que suele ser muy complicado.
  • Ninguno de los tres arrestados hasta ahora, tenía antecedentes.
  • El primer arresto se produjo el 3 de febrero, los otros dos el 24. ¿No pudo avisar a sus compañeros o no quiso hacerlo?. ¿Empezó quizás una pelea interna por el control de la botnet.?
  • No tenían grandes conocimientos técnicos. Unicamente compraron y administraron la botnet. Esto pone de manifiesto el gran mercado negro de malware al alcance de cualquiera.
  • Las empresas afectadas llegan al 50% de Fortune 1000.
  • Discovered: September 29, 2009
    Updated: September 30, 2009 8:32:32 AM
    Also Known As: W32/Autorun.worm!a758e0e7 [McAfee], W32/Rimecud [McAfee], W32/Autorun-AUP [Sophos], ButterflyBot.A [Panda Software]
    Type: Worm
    Infection Length: 109,056 bytes
    Systems Affected: Windows 98, Windows 95, Windows XP, Windows Me, Windows Vista, Windows NT, Windows Server 2003, Windows 2000
    W32.Pilleuz is a worm that spreads through file-sharing programs, Microsoft instant messaging clients and removable drives. It also opens a back door on the compromised computer.
    Currently, W32.Pilleuz has been most commonly referred to as the Mariposa or Butterfly botnet. [Fuente symantec].
Mariposa FAQ.
Comunicado oficial de la Guardía Civíl.
Información de PandaLabs
Mapa de Mariposa Botnet

Sin duda, un gran trabajo de la Guardía Civíl, Panda, y Defence Intelligence. ¡Enhorabuena!
Publicado por en
Etiquetas: , ,

No hay comentarios:

Publicar un comentario

Trata a los demás como te gustaría ser tratado.

Suscribirse a: Enviar comentarios (Atom)