Le aziende di sicurezza informatica Defence Intelligence e Panda Security rendono noto che botnet Mariposa, una vasta rete di computer infetti progettata per impadronirsi di informazioni personali, è stata smantellata dalle autorità e che tre presunti cyber-criminali accusati di controllarla sono stati arrestati dalle forze dell’ordine spagnole. Tra i dati rubati da Mariposa vi sono informazioni relative a conti bancari, carte di credito, username e password di una rete mondiale di 12.7 milioni di computer violati, appartenenti a utenti privati, aziende, agenzie governative e università di oltre 190 paesi. La rete di bot è stata disattivata il 23 dicembre 2009 grazie all’impegno congiunto di diversi esperti, agenzie e corpi di sicurezza, tra i quali Defence Intelligence, Panda Security, l’FBI e la Guardia Civil spagnola.

Con circa 13 milioni di computer colpiti, si stima che Mariposa sia una delle più grandi botnet fin qui individuate. Christopher Davis, CEO di Defence Intelligence, la prima azienda a scoprire questa rete, spiega: “Sarebbe più semplice per me fornire una lista di aziende dell’indice Fortune 1000 e indicare chi non è stato colpito da questa minaccia, piuttosto che elencare tutti coloro che sono stati attaccati”.

Dopo la scoperta di Mariposa nel maggio 2009, Defence Intelligence, Panda Security e Georgia Tech Information Security Center hanno creato il Mariposa Working Group con l’obiettivo di unire le forze insieme ad altri esperti e agenzie di sicurezza di differenti paesi, per cercare di eliminare questa botnet e consegnare i criminali alla giustizia. Il principale botmaster, conosciuto come “Netkairo” e “hamlet1917”, insieme ai suoi due collaboratori, “Ostiator” e “Johnyloleante” sono stati arrestati.

“Le prime analisi indicano che i botmaster non possedevano conoscenze avanzate di hacking. Questo risulta molto preoccupante in quanto dimostra quanto sia diventato efficace e sofisticato il software di diffusione del malware, che consente a criminali senza esperienza di causare danni e perdite molto significativi”, sottolinea Pedro Bustamante, Senior Research Advisor di Panda Security. “Siamo molto orgogliosi dell’impegno coordinato di tutti i componenti del Mariposa Working Group e della rapidità con la quale siamo riusciti a elimiare questa importantissima rete di bot e individuarne i responsabili.”

Alla fine del 2009, Mariposa Working Group è riuscito a infiltrarsi nella struttura di controllo di Mariposa e a studiare i canali di comunicazione utilizzati dai presunti botmaster, che rinviavano le informazioni dei computer colpiti ai cyber-criminali, in modo molto simile a quelli utilizzati dalle botnet Zeus, Conficker e Koobface o evidenziati di recente nelle operazioni Google/Aurora.

Dopo aver analizzato i principali server della rete, il 23 dicembre 2009 il Working Group è stato in grado di realizzare l’operazione coordinata di chiusura della rete di bot Mariposa. Panda Security è tuttora all’opera per un’analisi completa del malware e sta coordinando le comunicazioni internazionali tra le aziende specializzate in antivirus per assicurare che le loro firme siano aggiornate. Tra i principali dati emersi finora dall’analisi preliminare di Panda Security vi sono:

• Una volta colpiti dal client bot di Mariposa, il botmaster installava differenti malware (keylogger avanzati, banker trojan come Zeus, o trojan per l’accesso remoto, etc.) per poter realizzare azioni aggiuntive sui PC zombie.
  
  
• Il botmaster guadagnava denaro con la vendita di parti della rete di bot, installando toolbar e fornendo dati bancari per servizi online e carte di credito rubati per realizzare transazioni attraverso “muli” all’estero.
  
  
• La rete di bot Mariposa si è diffusa in modo molto efficace attraverso le reti peer-to-peer, le penne USB e le messaggerie istantanee.