Le aziende di sicurezza informatica Defence Intelligence e Panda Security 
Tra i dati rubati da Mariposa vi sono informazioni relative a conti bancari, carte di credito, username e password di una rete mondiale di 12.7 milioni di computer violati, appartenenti a utenti privati, aziende, agenzie governative e università di oltre 190 paesi. La rete di bot è stata disattivata il 23 dicembre 2009 grazie all’impegno congiunto di diversi esperti, agenzie e corpi di sicurezza, tra i quali Defence Intelligence, Panda Security, l’FBI e la Guardia Civil spagnola.
Con circa 13 milioni di computer colpiti, si stima che Mariposa sia una delle più grandi botnet fino ad ora mai individuate.
Dopo la scoperta di Mariposa nel maggio 2009, Defence Intelligence, Panda Security e Georgia Tech Information Security Center hanno creato il Mariposa Working Group con l’obiettivo di unire le forze insieme ad altri esperti e agenzie di sicurezza di differenti paesi, per cercare di eliminare questa botnet e consegnare i criminali alla giustizia. Il principale botmaster, conosciuto come “Netkairo” e “hamlet1917”, insieme ai suoi due collaboratori, “Ostiator” e “Johnyloleante” sono stati arrestati.
Alla fine del 2009, Mariposa Working Group è riuscito a infiltrarsi nella struttura di controllo di Mariposa e a studiare i canali di comunicazione utilizzati dai presunti botmaster, che rinviavano le informazioni dei computer colpiti ai cyber-criminali, in modo molto simile a quelli utilizzati dalle botnet Zeus, Conficker e Koobface o evidenziati di recente nelle operazioni Google/Aurora.
Dopo aver analizzato i principali server della rete, il 23 dicembre 2009 il Working Group è stato in grado di realizzare l’operazione coordinata di chiusura della rete di bot Mariposa. Panda Security è tuttora all’opera per un’analisi completa del malware e sta coordinando le comunicazioni internazionali tra le aziende specializzate in antivirus per assicurare che le loro firme siano aggiornate. Tra i principali dati emersi finora dall’analisi preliminare di Panda Security vi sono:
– Una volta colpiti dal client bot di Mariposa, il botmaster installava differenti malware (keylogger avanzati, banker trojan come Zeus, o trojan per l’accesso remoto, etc.) per poter realizzare azioni aggiuntive sui PC zombie.
– Il botmaster guadagnava denaro con la vendita di parti della rete di bot, installando toolbar e fornendo dati bancari per servizi online e carte di credito rubati per realizzare transazioni attraverso “muli” all’estero.
– La rete di bot Mariposa si è diffusa in modo molto efficace attraverso le reti peer-to-peer, le penne USB e le messaggerie istantanee.
Mariposa Working Group ha ufficialmente preso il controllo dei canali di comunicazione utilizzati da Mariposa, escludendo dalla rete i creatori. Subito dopo la chiusura della rete in dicembre, come apparente atto di ritorsione, era stato condotto un attacco DdoS (Distributed Denial of Service) contro Defence Intelligence. L’attacco è stato così potente da colpire un grande Internet Service Provider, bloccando la connessione a molti dei suoi clienti per diverse ore.
CDmon è impegnato per fornire Internet di qualità, garantendo in tutti i nostri servizi standard elevati. Questo sforzo collaborativo rappresenta una grande vittoria nella lotta al cyber crimine.
Defence Intelligence e Panda Security stanno tuttora cercando di contattare tutte le aziende attaccate dalla botnet.
Fonte Full Press
