• El trabajo conjunto de investigación conduce a tres arrestos, y aún hay más pendientes

• El robo de datos personales y económicos consecuencia de este ataque informático masivo ha afectado a casi 13 millones de direcciones IP, incluyendo la mitad de las 1000 compañías americanas más importantes.

• Según estimaciones, se calcula que los daños preliminares ascienden a varios millones de dolares.

Según las empresas de seguridad informática Defence Intelligence y Panda Security, la red de bots Mariposa, diseñada para robar información confidencial, ha sido cerrada por las autoridades y ha dejado de estar en poder de tres presuntos delincuentes informáticos acusados de controlar la red. Los datos robados incluyen información de cuentas bancarias, tarjetas de crédito, nombres de usuario y contraseñas de una red global de unos 12 millones 700.000 equipos comprometidos pertenecientes a usuarios domésticos, empresas, agencias gubernamentales, y universidades de más de 190 países. La red de botnets fue desactivada el 23 de diciembre de 2009 gracias al esfuerzo conjunto de diversos expertos de seguridad y agencias y cuerpos de seguridad, incluyendo Defence Intelligence, Panda Security, el FBI y la Guardia Civil española.

Con casi 13 millones de ordenadores comprometidos, se estima que Mariposa es una de las mayores redes de bots de la historia. Christopher Davis, CEO de Defence Intelligence, la primera empresa en descubrir esta red de bots, explica: “Sería más sencillo para mí dar una lista de las empresas del índice Fortune 1000 que no se han visto afectadas por esta amenaza, que dar el enorme listado de las que sí lo han sido”.

Tras el descubrimiento de Mariposa en mayo de 2009, Defence Intelligence, Panda Security y el Georgia Tech Information Security Center crearon el Mariposa Working Group con el objetivo de aunar esfuerzos con otros expertos de seguridad y agencias y cuerpos de seguridad de diferentes países para tratar de eliminar la botnet y llevar a los criminales ante la justicia. El principal botmaster conocido como “Netkairo” y “hamlet1917”, así como otros colaboradores, “Ostiator” y “Johnyloleante”, han sido arrestados.

“Los primeros análisis indicaron que los botmasters no tenía conocimientos avanzados de hacking. Esto resulta muy preocupante ya que demuestra lo sofisticado y efectivo que se ha vuelto el software de distribución de malware, que permite a criminales sin experiencia causar daños y pérdidas muy importantes.”, afirma Pedro Bustamante, Senior Research Advisor de Panda Security. “Estamos muy orgullosos del esfuerzo coordinado realizado por todos los integrantes del Mariposa Working Group y de la rapidez con la que hemos conseguido eliminar esta importantísima red de bots y atrapar a los responsables.”

A finales del año pasado, el Mariposa Working Group consiguió infiltrarse en la estructura de control de Mariposa y estudiar los canales de comunicación utilizados por los presuntos botmasters. Dichos canales reenviaban información de los ordenadores afectados a los criminales, y son los habituales y muy similares a los también empleados en Zeus, Conficker y Koobface u otros como los utilizados recientemente en las operaciones Google/Aurora. Tras analizar los principales servidores de control ubicados el Working Group fue posible la operación coordinada de cierre de la red de bots Mariposa el 23 de diciembre. En la actualidad, Panda Security está liderando el análisis exhaustivo del malware, así como coordinado las labores de comunicación internacional con otras empresas antivirus para asegurar que sus identificadores de virus están actualizados. Los datos más importantes del análisis preliminar de Panda Security son los siguientes:

• Una vez el cliente de Mariposa infectaba los sistemas afectados, el botmaster instalaba diferente ejemplares de malware (keyloggers, troyanos bancarios avanzados como Zeus, troyanos de acceso remoto, etc.) para poder realizar más acciones en los ordenadores zombies.
• El botmaster conseguía dinero de diversas formas: alquilando partes de la botnet, instalando toolbars y empleando los datos bancarios y las tarjetas de crédito robadas para hacer transacciones a muleros en el extranjero.
• La red de botnets Mariposa se propaga de forma muy efectiva a través de redes P2P, dispositivos USB, y enlances MSN.

En breve se publicará un informe exhaustivo del análisis forense de Panda Security en http://research.pandasecurity.com. Mientras tanto, es posible encontrar una breve descripción del software de la botnet Mariposa, conocido como ButterflyBot.A, en https://www.pandasecurity.com/es/security-info/217587/ButterflyBot.A.

“Una vez más, las actuaciones coordinadas y conjuntas de distintas fuerzas policiales internacionales y la Guardia Civil, junto con el esfuerzo de la industria de la seguridad en Internet, han podido hacer frente a la amenaza global del cybercrimen”, Juan Salom, Comandante en Jefe del Grupo de Delitos Telemáticos de la Guardia Civil.

Según Dave Dagon, del Georgia Tech Information Security Center: “En lugar de hacer gráficos de tarta, debemos tratar las redes de bots como el escenario de un crimen y no como un simple proyecto de investigación.”

El Mariposa Working Group ha tomado oficialmente el control de los canales de comunicación empleados por Mariposa, aislando de forma efectiva la botnet de sus creadores. En un aparente acto de venganza, se produjo un ataque Distribuido de Denegación de Servicio (DDoS) en contra de Defence Intelligence poco después del cierre de la red de bots el 23 de diciembre de 2009. Dicho ataque fue lo suficientemente fuerte como para afectar a un importante Proveedor de Servicios de Internet, muchos de cuyos clientes se quedaron sin conexión a Internet durante varias horas.

Según un representante de CDmon, el ISP español que colaboró en la investigación y en el que se alojaban los dominios empleados por los criminales: “Para nosotros ha sido un placer colaborar en esta operación a nivel internacional, junto con la Guardia Civil Española, Panda Security, Defence Intelligence y otras fuerzas de seguridad para desmantelar esta red de bots. Desde CDmon apostamos siempre por una Internet de calidad garantizando en todos nuestros servicios un alto estándar de calidad y seguridad. Esta colaboración ha supuesto una gran victoria en la lucha contra el delito informático”.

“Seguiremos combatiendo la amenaza de las redes de bots y a los criminales que se encuentran tras ellas,” afirma Davis. “Empezaremos desmantelando sus infraestructuras y no pararemos hasta ponerlos delante de un juez”.

Defence Intelligence está intentando contactar con las organizaciones afectadas. Para descubrir si la seguridad de su organización se ha visto comprometida, póngase en contacto con Defence Intelligence a través de la dirección de email compromise@defintel.com.

Sobre Defence Intelligence:
Defence Intelligence es una empresa de seguridad informática especializada en la protección de información. Con base en Ottawa, Canadá, los fundadores de Defence Intelligence son expertos del sector reconocidos a nivel mundial. Se han encargado de la seguridad de la información en empresas de la lista Fortune 50, consultado con cientos de empresas privadas e instituciones gubernamentales y colaborado en la captura y procesamiento de criminales informáticos internacionales. Para más información, visite http://www.defintel.com.

Sobre Guardia Civil
La Guardia Civil es una de las dos policías de ámbito nacional del estado español y tiene entre sus misiones la seguridad ciudadana, funciones de Policía Administrativa, Resguardo Fiscal del Estado, Servicio de Información y Policía Judicial, donde se enmarca una de sus unidades de élite, la Unidad Central Operativa (UCO), encargada de la lucha contra el crimen organizado. Para más información en: http://www.guardiacivil.org/index.jsp