Hoy os vengo a hablar de la considerada por muchos una de las mayores redes de bots de la historia, hoy hablaremos sobre Mariposa.
Esta botnet fue descubierta en diciembre de 2008 y sus principales técnicas de ataque se centraban en cyberscamming y ataques de tipo DoS. Para intentar llevar ante la justicia a los criminales que estaban detrás de esta red se creó el Mariposa Working Group (MWG) formado por Defence Intelligence, Georgia Institute of Technology y Panda Security, además de una gran numero de expertos, agencias y cuerpos de seguridad de diferentes países.
Mariposa, comenzó a construirse a través de un kit de malware conocido como Butterfly Bot. Este kit puede adquirirse en la red por un valor aproximado de entre 500 y 1.000 euros y permite a cibercriminales con escasos conocimientos crear botnets con más de 700 zombis.
Después de recopilar información sobre la red y localizar los diferentes paneles de control desde donde los criminales mandaban instrucciones a los dispositivos, se pudo saber cuáles eran las principales actividades delictivas que se llevaban a cabo a través de Mariposa:
- Robo de credenciales de los equipos infectados
- Spam mediante email
- Modificación de resultados de búsquedas, redireccionando a los usuarios a anuncios que hacían ganar dinero a los criminales
Los vectores de infección más utilizados por esta botnet fueron medios extraíbles de almacenamiento, plataformas de mensajería instantánea como MSN Messenger o redes sociales como Facebook o MySpace.
Quienes estaban detrás de esta botnet se hacían llamar DDP Team y dar con ellos fue una tarea bastante complicada, ya que estos siempre se conectaban a Mariposa a través de servicios VPN, lo que dificultaba la localización de la dirección IP real que estaban utilizando.
En diciembre de 2009 el MWG fue capaz de cortar la conexión entre la botnet y el DDP Team. Tras esta acción el jefe de la banda, alias Netkairo, intentó por todos los medios recuperar el control de Mariposa y en uno de sus intentos cometió el error de conectarse a ella directamente desde su ordenador personal, dejando al descubierto cual era la IP real que estaba utilizando.
Cuando éste consiguió de nuevo el control de la botnet, lanzó un ataque de denegación de servicio contra Defence Intelligence. Este ataque hizo que un importante proveedor de acceso a internet dejara de dar servicio a sus clientes durante horas, provocando la caída de varios centros universitarios en Canadá.
A consecuencia de otra operación del Mariposa Working Group, DDP perdió de nuevo el control de la botnet, momento que MWG aprovechó para cambiar los DNS donde se estaban conectando los bots y se pudo saber con certeza cuál era el número de ordenadores que había infectado Mariposa: más de 12 millones de direcciones IP se estaban conectando y enviando información a los servidores de control.
En febrero de 2010, la Guardia Civil detuvo a Netkairo, Florencio Carro Ruiz, un joven español de 31 años de edad. En esta detención se incautó numeroso material informático que, tras su análisis forense, permitió a los cuerpos de seguridad localizar a otros dos miembros de la banda, Jonathan Pazos Rivera de 30 años y Juan José Ríos Bellido de 25 años, ambos detenidos pocos días después. Los tres criminales fueron condenados a 6 años de prisión.
Las víctimas de esta red estaban repartidas por más de 190 países y afectaron a equipos empresariales, usuarios domésticos, agencias gubernamentales y universidades. En el análisis de datos robados se encontraron cuentas bancarias, credenciales, nombres de usuarios, etc.
Tras el análisis de los discos duros de Netkairo, se reveló una compleja red de proveedores que ofrecían todo tipo de servicios criminales: hackeo de servidores para utilizarlos como servidores de control de la red de bots, encriptación de bots para hacerlos indetectables en la red, VPN para el manejo de la botnet, etc. También se descubrió que la banda se dedicaba al robo de dinero directo a través de las cuentas bancarias que habían comprometido, utilizando a muleros de Canadá y Estados Unidos para blanquearlo.
Debido la cooperación entre Guardia Civil, Panda Security y Defence Intelligence un año después se pudo detener a Matjaž Škorjanc alias Iserdo de 23 años, autor del kit malware con el que se creó esta botnet.
___________________________________
Recordaros que podéis seguirnos en nuestro Twitter, Instagram y Telegram.
Si te gusta la labor que realizamos a diario…
Técnico superior en administración de sistemas informáticos / Certificado Cisco CCNA / Auditor de seguridad informática /
