Red de bots Mariposa

MariposaimageEn Mayo de 2009, Defence Intelligence hizo público el descubrimiento de una nueva red de bots, bautizada como “Mariposa”. Además de la información facilitada en su momento, en ese momento se empezó un trabajo que ha durado meses, cuyo objetivo era acabar con una red criminal que estaba detrás de lo que iba a convertirse en una de las mayores redes de bots de la historia.

Lo primero que se hizo fue crear el Mariposa Working Group (MWG), del que forman parte Defence Intelligence, el Georgia Institute of Technology y Panda Security; junto a expertos de seguridad y agencias y cuerpos de seguridad de diferentes países, la idea era aunar fuerzas para tratar de eliminar la botnet y llevar a los criminales ante la justicia.

Una vez recogida toda la información, lo más importante era planificar cómo quitar el control de la red a los criminales que estaban detrás, así como poder identificarlos. Una vez localizados los diferentes paneles de control desde los que mandaban instrucciones a la red, pudimos ver qué tipo de actividades llevaban a cabo.  Principalmente se dedicaban a alquilar partes de la red de bots a otros criminales, robo de credenciales de los equipos infectados, cambio de resultados a los usuarios cuando utilizaban motores de búsqueda (Google, etc.), y mostrar popups de publicidad.

La finalidad, como podéis ver, era puramente económica. El grupo de delincuentes detrás de  Mariposa se hacía llamar DDP Team (Días de Pesadilla Team), información que logramos más tarde cuando debido a un error fatal pudimos descubrir a uno de los cabecillas de la banda.

Localizar a los criminales se volvió realmente complicado, ya que siempre se conectaban a los servidores de control de Mariposa a través de servicios anónimos de VPN (Virtual Private Network, Red Privada Virtual), lo que imposibilitaba localizar la dirección IP real que tenían, la mejor pista que nos podría llevar hasta ellos. 

El día 23 de Diciembre de 2009, en una operación coordinada a nivel mundial, el Mariposa Working Group consiguió cortar el control de Mariposa al grupo de delincuentes. El líder de la banda, alias Netkairo, se puso nervioso e intentó entonces a toda costa recuperar el control de la red de bots. Como he comentado anteriormente, para conectarse a los servidores de control de Mariposa usaba servicios anónimos de VPN que impedían localizar su ubicación real, pero en una de las ocasiones en las que trataba de recuperar el control de la red de bots cometió un error fatal: se conectó directamente desde el ordenador de su casa y olvidó utilizar la VPN.

Netkairo finalmente consiguió recuperar el control de Mariposa, y a continuación lanzó un ataque de denegación de servicio contra Defence Intelligence utilizando todos los bots que tenía a su disposición. Este ataque afectó seriamente a un gran Proveedor de Acceso a Internet (ISP) y dejó sin conectividad durante varias horas a multitud de clientes, entre los que se encontraban centros universitarios y administrativos de Canadá.

Finalmente el Mariposa Working Group consiguió que el DDP Team perdiera de nuevo el acceso a Mariposa. Cambiamos la configuración DNS de los servidores a los que se conectaban los bots, de tal forma que pudimos en ese momento ver la cantidad de bots que estaban reportando. El resultado nos dejó helados, cuando vimos que más de 12 millones de direcciónes IP se estaban conectando y enviando información a los servidores de control, convirtiendo a Mariposa en una de las redes de bots más grandes de la historia. 

El 3 de Febrero de 2010, la Guardia Civil procedió a la detención de Netkairo. Se trataba de F.C.R., español, de 31 años de edad. Tras su detención, las fuerzas de seguridad incautaron material informático, cuyo análisis forense llevó a la policía a localizar a otros 2 componentes de la banda, también españoles: J.P.R., de 30 años, alias “jonyloleante”, y  J.B.R., de 25 años, alias “ostiator”. Ambos fueron arrestados el 24 de Febrero de 2010.

Las víctimas de Mariposa están repartidas por todo el mundo, hay equipos comprometidos pertenecientes a usuarios domésticos, empresas, agencias gubernamentales y universidades de más de 190 países.  Para que nos hagamos una idea de hasta dónde llega la importancia de estas infecciones, basta con leer las declaraciones de Christopher Davis, CEO de Defence Intelligence: “Es mucho más rápido citar a las empresas del ranking Fortune que no han sido víctimas de Mariposa que hacer la larga lista de aquellas que sí se han visto afectadas”.

Los datos robados van desde información de cuentas bancarias, tarjetas de crédito, nombres de usuarios, passwords, etc. Sólo en el material informático incautado en el momento de la detención de 1 de los miembros del DDP Team, se han localizado datos robados pertenecientes a más de 800,000 usuarios.
 
Las fuerzas de seguridad aún están realizando análisis forenses sobre el material incautado, estudiando la información robada, pero los cálculos preliminares debido al fraude, robos financieros, pérdida de información y costes de limpieza se estiman en millones de dólares.

El análisis forense de los discos duros de Netkairo que está llevando a cabo la policía están revelando una compleja red de proveedores, que le ofrecían desde el hackeo de servidores para usarlos como servidores de control  de la red de bots, servicios de encriptación para hacer los bots indetectables por los antivirus, conexiones de redes virtuales privadas anónimas para el manejo de la botnet, etc.

Además, también tenían una compleja red de clientes, dispuestos a pagar por el alquiler de parte de la botnet, tarjetas de crédito robadas, o por la instalación de toolbars. La banda también se dedicaba al robo directo de dinero desde las cuentas robadas, utilizando muleros en Canadá y Estados Unidos, y para limpiar el dinero utilizaban juegos de póker online.

Una de las acciones que desde Panda hemos llevado a cabo es contactar con todas las compañías de antivirus, dando acceso a las muestras de los bots para que todos sean capaces de detectarlos, con lo que para saber si estás infectado con el bot basta con analizar el ordenador con una solución antivirus actualizada.

Podéis ver todas las claves de esta red en este video:

 

Editado el 5 de marzo de 2010

Muchísima gente me ha preguntado por Twitter y por correo electrónico cómo pueden saber si están infectados por alguno de estos bots.  Os ofrezco un escáner online completamente gratuito que os ayudará a despejar vuestras dudas, Panda ActiveScan. Además, si tuvieras la mala suerte de estar infectado por el bichito en cuestión,  te desinfecta, ¡un lujo!

ActiveScan

Related News

37 Responses

Leave a Reply
  1. JHY
    Mar 24, 2010 - 05:42 PM

    Muchisimas gracias, lo que mas me ha gustado es que con todo el trabajo que os ha costado pillar a estos delincuentes, compartierais vuestro descubrimiento con los demas antivirus para que lo detectaran. Me parece muy bien y desde ahora me voy a pasar a Panda Antivirus, porque me he dado cuenta de que sois de confianza y aplicais todo vuestro esfuerzo en arreglar virus.

    Reply
    • Luis Corrons
      Mar 25, 2010 - 06:50 AM

      Muchas gracias por tu comentario. De todas formas el compartir la información con el resto de antivirus es algo que hacemos todos los días. Aunque somos competidores, entre los laboratorios hay muy buena relación y yo mismo tengo buenos amigos en muchos de ellos. Al final nos conviene compartir la información para que podamos proteger mejor a nuestros respectivos usuarios.

      Reply
  2. Vic
    Mar 22, 2010 - 04:56 PM

    Muchas gracias por la información, la recibí por email, yo tengo el panda, y creo que seria bueno para todos aquellos que son nuevos es esto de los virus, se les recomiende desactivar el firewall de windows y dejen que trabaje el firewall de panda.
    Se que varios dejan el firewall de windows por que si se desactiva luego sige mandando una alerta el windows que no estas protegido.
    Pero la verdad es que si no dejas que todo lo controle panda es cuando no estas protegido de verdad.
    Ya que te das cuenta en verdad de los ataques que lleags a recibir de la red.
    Felicito al Equipo de Panda ya que en lo personal me ha resultado excelente en la protección de mis equipos.
    Doy soporte a equipos en una Universidad asi que he conocido ya varios antivirus pero me quedo con Panda y no es comercial.
    Saludos

    Reply
  3. Pepe Ramirez
    Mar 20, 2010 - 01:28 AM

    ¿Cuál sería la tipificación del delito?

    Reply
  4. jose
    Mar 08, 2010 - 01:13 AM

    ¿También infectó a ordenadores con sistemas LInux? o solo a Windows? porfavor estamos deseosos de que nos lo aclaren… y dejen de mentir con noticias falsas.
    A mi no me hace falta un Panda antivirus para vivir , no uso Windows.
    Sigan haciendo negocio engañando al mundo, para mi son ustedes la mayor red de estafa, mas que Mariposa.

    Reply
    • lcorrons
      Mar 09, 2010 - 12:54 PM

      Como se puede leer en nuestra enciclopedia, afecta a ordenadores con Windows. Como sabrás, la mayoría de códigos maliciosos dirigidos al robo de credenciales, dinero, etc., se hacen pensando en Windows dado que es la plataforma mayoritaria.

      Sí es cierto que con la popularización de sistemas Mac y Linux, han aumentado las amenazas para estas plataformas, aunque en números absolutos la cantidad de malware que se crea es muy inferior en estos sistemas operativos.

      Reply
    • Paradise Boy
      Mar 09, 2010 - 12:56 PM

      Jajaja ya estamos con lo de siempre! Linux trolls de siempre! Mucho estaban tardando en aparecer. Please, dont feed the troll. 🙂

      Reply
  5. JV
    Mar 04, 2010 - 08:51 AM

    ¡Gracias por librar al mundo de una pesadilla!

    Reply
  6. Vicens
    Mar 04, 2010 - 08:33 AM

    Esto es de película de ciencia ficción, creo que el periodista le ha dado ese aire para hacerlo más interesante, pero me gusta.
    Gracias

    Reply
  7. juan
    Mar 03, 2010 - 09:09 PM

    Pues me parece tristisimo que hayan quedado impunes..

    Reply
    • lcorrons
      Mar 05, 2010 - 03:14 PM

      La verdad es que no han quedado impunes, están a la espera de juicio. Esperemos que les caiga una pena ejemplar.

      Reply
  8. chory
    Mar 03, 2010 - 07:45 PM

    el ultimo enlace a Panda del post lo teneis mal escrito http://www.panasecurity.com/

    Reply
    • lcorrons
      Mar 05, 2010 - 03:13 PM

      Gracias! Ahora mismo lo cambio )

      Reply

Trackbacks/Pingbacks

  1. PandaLabs’ Quarterly Report: 61% of new threats created in Q1 were Trojans | Presse Panda Security
  2. Panda Security y Defence Intelligence coordinan el cierre de una importante red de bots con autoridades policiales internacionales | Gonard IT Solutions
  3. La Piazza – Blog de Soporte Técnico de Panda Security » El Top Five del malware que intenta atacarte ¡Defiéndete de ellos instalando tu Panda Antivirus!
  4. La Piazza Blog – SOPORTE PANDA SECURITY » El Top Five del malware que intenta atacarte ¡Defiéndete de ellos instalando tu Panda Antivirus!
  5. Firesheep: ¿Quién se ha comido mis galletas? | PandaLabs Blog
  6. Panda Security Days en Suecia 2010 | PandaLabs Blog
  7. Panda Security y Defence Intelligence ayudan al FBI a arrestar a cibercriminales – Hacker arrestado en Eslovenia
  8. » Panda Security y Defence Intelligence ayudan al FBI a arrestar a cibercriminales – Hacker arrestado en Eslovenia
  9. Panda Security y Defence Intelligence ayudan al FBI a arrestar a cibercriminales – Hacker arrestado en Eslovenia - ::VeneActual:: - ::Noticias::Tecnologia::Cine::TV::Farandula::Eventos::Entretenimiento::Y Mucho Mas en Venezuela!!!
  10. Panda Security y Defence Intelligence ayudan al FBI a arrestar a cibercriminales – Hacker arrestado en Eslovenia | Estamos en Línea
  11. Panda Security y Defence Intelligence ayudan al FBI a arrestar a cibercriminales. Hacker arrestado en Eslovenia: Notas de Prensa
  12. Panda Security y Defence Intelligence ayudan al FBI a arrestar a cibercriminales – Hacker arrestado en Eslovenia | Prensa Panda Security
  13. Arrojando luz sobre Mariposa | PandaLabs Blog
  14. PandaLabs:El 61% de las nuevas amenazas creadas en el primer trimestre del año fueron troyanos bancarios
  15. Panda Security News | 61% of new threats created in Q1 were banker Trojans
  16. Mi PC infectada con la Red Mariposa o_O | El TachiBlog
  17. Botnet Mariposa. « Usuarios seguros?
  18. O botnet con máis infeccións é español - Galego
  19. Red de bots mariposa at KbzA’s Blog
  20. Recuperacion de datos » Blog Archive » Detenidos en España los responsables de la mayor botnet a nivel mundial
  21. Operable.NET » Blog Archive » Detenidos en España los responsables de la mayor botnet a nivel mundial
  22. Detenidos en España los responsables de la mayor botnet a nivel mundial
  23. El botnet con más infecciones es español.
  24. Desarticulada la mayor red botnet a nivel mundial en España | Mas alla de la Red

Leave a Reply

Your email address will not be published. Required fields are marked *

COPYRIGHT 2014 PANDA SECURITY