Uno de los aspectos más interesantes para conocer la expansión del bot que se encuentra detrás de la red Mariposa es el estudio de la distribución geográfica de la infección. A diferencia de otros casos, las estadísticas del Mariposa Working Group no proceden del análisis de PCs. A fin de impedir que el equipo DDP Team pudiese controlar Mariposa, logramos cambiar el DNS de los servidores C&C, para que todos los bots fuesen redirigidos a un sumidero. Ese fue el momento en el que nos dimos cuenta de las proporciones gigantescas de la red de bots. Pudimos por fin ver las direcciones IP de todos y cada uno de los bots que intentaban acceder al servidor C&C para recibir instrucciones. Como ya sabéis, el número de IPs no es equivalente al número de ordenadores, ya que es posible que un sólo ordenador emplee múltiples direcciones de IP y que varios ordenadores emplee una sola dirección (este suele ser el caso de los ordenadores que se conectan a Internet a través de un servidor proxy).
Antes de reunir toda la información, yo suponía que la mayoría de bots estarían en Estados Unidos, en algunos países de la Europa del Este y en algunos otros de Asia (Japón, China). Sin embargo, estaba totalmente equivocado. En el mapa siguiente se muestra la distribución del bot. Cuanto más oscuro el color, mayor el número de IPs:
Como podéis ver, hay infecciones en casi todos los países del mundo. Estas son las 20 ciudades del mundo con más bots de Mariposa:
He intentado representar todas las ciudades en el mapa, pero señalar 31.901 ciudades diferentes es un pelín complicado 😉
Panda Security es una empresa especializada en la creación de productos de seguridad para endpoints que son parte del portfolio de soluciones de seguridad IT de WatchGuard. Centrada inicialmente en la creación de software antivirus, la compañía ha ampliado sus objetivos expandiendo su línea de negocio hacia los servicios de ciberseguridad avanzada con tecnologías para la prevención del cibercrimen.
