Game over per Mariposa

Mariposa non c'è più. La rete di computer infetti progettata per impadronirsi di informazioni personali che ha colpito 13 milioni di pc in 190 paesi, è stata smantellata dalle autorità e i tre presunti cybercriminali, il principale botmaster, conosciuto come Netkairo e hamlet1917, e i due collaboratori, Ostiator e Johnyloleante sono stati arrestati.

Tra i dati rubati da Mariposa vi sono informazioni relative a conti bancari, carte di credito, username e password di una rete mondiale di 12.7 milioni di computer violati, appartenenti a utenti privati, aziende, agenzie governative e università di oltre 190 paesi. La rete di bot è stata disattivata il 23 dicembre 2009 grazie all’impegno congiunto di diversi esperti, agenzie e corpi di sicurezza, tra i quali Defence Intelligence, Panda Security, Fbi e la Guardia Civil spagnola.

Con circa 13 milioni di computer colpiti, si stima che Mariposa sia una delle più grandi botnet fin qui individuate. Christopher Davis, Ceo di Defence Intelligence, la prima azienda a scoprire questa rete, spiega: “Sarebbe più semplice per me fornire una lista di aziende dell’indice Fortune 1000 e indicare chi non è stato colpito da questa minaccia, piuttosto che elencare tutti coloro che sono stati attaccati”.

Dopo la scoperta di Mariposa nel maggio 2009, Defence Intelligence, Panda Security e Georgia Tech Information Security Center hanno creato il Mariposa Working Group con l’obiettivo di unire le forze per cercare di eliminare questa botnet e consegnare i criminali alla giustizia.

“Le prime analisi indicano che i botmaster non possedevano conoscenze avanzate di hacking. Un dato molto preoccupante in quanto dimostra quanto sia diventato efficace e sofisticato il software di diffusione del malware, che consente a criminali senza esperienza di causare danni e perdite molto significativi”, sottolinea Pedro Bustamante, Senior Research Advisor di Panda Security.
Alla fine del 2009, Mariposa Working Group è riuscito a infiltrarsi nella struttura di controllo di Mariposa e a studiare i canali di comunicazione utilizzati dai presunti botmaster, che rinviavano le informazioni dei computer colpiti ai cyber-criminali.
Dopo aver analizzato i principali server della rete, il 23 dicembre 2009 il Working Group è stato in grado di realizzare l’operazione coordinata di chiusura della rete di bot Mariposa.

Secondo l'analisi preliminare di Panda una volta colpiti dal client bot di Mariposa, il botmaster installava differenti malware (keylogger avanzati, banker trojan come Zeus, o trojan per l’accesso remoto, etc.) per poter realizzare azioni aggiuntive sui pc zombie.
Il botmaster guadagnava denaro con la vendita di parti della rete di bot, installando toolbar e fornendo dati bancari per servizi online e carte di credito rubati per realizzare transazioni attraverso “muli” all’estero. La rete di bot Mariposa si è diffusa in modo molto efficace attraverso le reti peer-to-peer, le penne Usb e le messaggerie istantanee.

Mariposa Working Group ha ufficialmente preso il controllo dei canali di comunicazione utilizzati da Mariposa, escludendo dalla rete i creatori. Subito dopo la chiusura della rete in dicembre, come apparente atto di ritorsione, era stato condotto un attacco DdoS (Distributed denial of service) contro Defence Intelligence. L’attacco è stato così potente da colpire un grande Isp, bloccando la connessione a molti dei suoi clienti per diverse ore.