Polícia espanhola desmantela rede de ‘botnets’ Mariposa

As autoridades espanholas detiveram três homens numa operação que desmantelou a rede de ‘botnets’ conhecida como Mariposa e que terá sido responsável pela infecção de milhões de computadores pessoais a nível mundial.

Muitos destes equipamentos pessoais permanecem infectados. Um grupo informal de voluntários, designado como Mariposa Working Group, desactivou os servidores de comando e controlo no passado dia 23 de Dezembro e recolheu informação sobre os criminosos e entregou-a às autoridades em Espanha e nos Estados Unidos da América.
Os computadores responsáveis pela infecção da Mariposa estavam ligados a 13 milhões de endereços únicos Internet, referiu Pedro Bustamante, investigador da Panda Security. É difícil de identificar a dimensão da ’botnet’, mas aparentemente é a maior a nível mundial.
Os investigadores detectaram infecções da ‘botnet’ Mariposa em metqade das empresas da Fortune 100, assim como em centenas de organismos governamentais, referiu Chris Davis, Chief Executive Officer (CEO) da Defense Intelligence, a empresa responsável pela identificação da ‘botnet’ em Maio do ano passado. A Defense Intelligence e a Panda Security integram o Mariposa Working Group, assim como investigadores do Georgia Tech.
Os criminosos utilizavam a ‘botnet’ Mariposa para ataques típicos: roubavam credenciais bancárias e lançavam ataques distribuídos de negação de serviço (DDoS, Distributed Denial-of-Service). Contudo, não utilizaram esta rede para difundir falsos produtos antivírus, uma decisão que lhe permitiu manter-se fora dos radares. “A botnet era muito silenciosa”, sublinha Pedro Bustamante.
Um destes ataques DDoS foi dirigido aos computadores da Defense Intelligence em Ottawa. Irritados com os esforços da empresa para os derrotar, os hackers enviaram dados para os servidores da empresa a uma taxa de 900 Mb por segundo após terem readquirido o controlo da ‘botnet’ em Janeiro deste ano.
As empresas de antivírus realizaram um bom trabalho na detecção de algumas das versões do código da Mariposa, mas os ciber-criminosos alteraram o software com frequência – por vezes todas as 48 horas – pelo que muitas das versões não foram detectadas. “As empresas de antivírus não conseguiram desenvolver assinaturas com rapidez suficiente”, salienta Chris Davis.
Os investigadores referem que continuam a existir muitos computadores pessoais infectados pelo Mariposa, mas estão a trabalhar com os fabricantes de antivírus para melhorar a detecção e remover o código malicioso. No decorrer dos próximos meses, deverá assistir-se a uma diminuição do número de computadores pessoais infectados, refere Chris Davis.
Com auxilio do Mariposa Working Group, a policia espanhola deteve o primeiro suspeito em Janeiro, enquanto os dois restantes foram detidos na semana passada. O erro fatal dos criminosos foi o de utilizarem nomes reais no registo dos domínios de comando e controlo, sublinhou Chris Davis. Aparentemente pensaram que permaneceriam anónimos porque utilizaram um ‘registrar’ privado, mas a empresa cooperou com o Mariposa Working Group. “Existem muitas ‘botnets’ e muitos ciber-criminosos dedicados a estas operações”,afirma o responsável da Defense Intelligence”. “São arrogantes e tornaram-se descuidados”.




Deixe um comentário

O seu email não será publicado