El vuelo de la mariposa

Hablar de la botnet Mariposa es hablar de la mayor red de zombies incautada jamás en España y seguramente una de la mayores reconocidas a nivel mundial.

Fue descubierta por primera vez en Mayo de 2009 por la empresa canadiense Defence Intelligence que formó un grupo de seguimiento, el Mariposa Working Group (MWG), junto con el Georgia Institute of Technology, Panda Security, el FBI y otras entidades.

Las investigaciones pronto dieron con un grupo de habla hispana identificado como DDPTEAM (Días De pesadilla TEAM), que había adquirido en el 'mercado del malware’ el troyano utilizado.

El 23 de diciembre de 2009, identificados prácticamente todos los canales de control de esta botnet, se procedió de forma coordinada y a nivel
internacional a bloquear los dominios que habían utilizado para evitar más ataques.
Cuando actuaron sobre los ISP (dos americanos y uno español) se dieron cuenta que la cantidad de mariposas revoloteando superaba todas sus expectativas: ¡más de 11 de millones de IPs distintas!


'Hamlet1917', conocido también como 'Netkairo', de 31 años, reaccionó y lanzó un desesperado ataque DoS contra Defence Intelligence. Tumbó el ISP de la empresa canadiense dejando durante varias horas sin conexión a todos sus clientes y además recuperó parte de la botnet. Sin embargo descubrió las cartas que le quedaban y cometió un grave error: se conectó desde el ordenador de su casa en Vizcaya sin utilizar el servicio VPN de navegación anónima. El 3 de Febrero de 2010 la Guardia Civil procedió a su detención.


Días después también cayeron 'Jonyloleante' (30 años, Murcia) y 'OsTiaToR' (25 años, Santiago de Compostela) y hoy todavía andan tras la pista de 'Fénix', que podría ser venezolano.


Los responsables de la operación señalaron que los detenidos vivían del ciberfraude, redirigiendo los zombies a sus enlaces publicitarios con Google Adsense, robando las credenciales de sus víctimas y alquilando partes de su red a otros criminales. Sin embargo no eran ni mucho menos millonarios y tampoco llegaron a explotar todas las 'capacidades' de su masiva red de zombies. De hecho eran buenos conocedores de informática pero no mega-expertos o brillantes cerebros.

Aún así, sus técnicas y artefactos no eran tampoco triviales y su caso ha tenido una gran repercusión mundial, llegando a afectar a usuarios de 190 países, a la mitad de las empresas más importantes según Forbes y a 40 de los principales bancos mundiales.


Y ahora recién leo un artículo de FireEye Malware Intelligence Lab indicando que la Mariposa todavía vive: acaban de ver un CnC mandando a su bot que se propage por USB...¿restos de actividad automática o todavía queda alguien detrás?

Comentarios