Giorni da incubo per la farfalla

Dopo poco più di un anno di vita sono state tagliate le ali alla “Farfalla” del web: “Mariposa”, una botnet che durante la sua effimera esistenza è stata capace di lasciare il segno nella Rete.

Il gruppo di lavoro, composto da autorevoli esperti dell’azienda Digital Intelligence – che per prima ha individuato la minaccia nel Maggio scorso -, del Georgia Tech Information Security Center e della PandaLabs in cooperazione con i funzionari del FBI e della Guardia Civil spagnola, dopo essere riusciti a penetrare nel sistema di C&C – command and control – della botnet, averne studiato le funzionalità ed aver raccolto ogni informazione possibile, sono riusciti a prenderne il controllo nel mese di Dicembre 2009.

TI PIACE QUESTO ARTICOLO?

Iscriviti alla nostra newsletter per essere sempre aggiornato.

Gli elementi acquisiti hanno permesso di stimare in quasi tredici milioni i PC infettati con una distribuzione in 190 Paesi.

Purtroppo, però, l’analisi dei dati immagazzinati dal team non ha permesso di individuare un qualsiasi indizio che potesse mettere gli investigatori sulle tracce degli autori.

La gang criminale, infatti, precauzionalmente, aveva ideato uno stratagemma che impediva l’individuazione dei numeri IP relativi alle connessioni avviate per comunicare con i server Mariposa.

Gli affari per i malviventi sembravano andare a gonfie vele: disseminato il malware attraverso canali P2P, collegamenti a risorse web fasulle, dispositivi USB, guadagnavano il controllo dei PC compromessi attraverso l’installazione di ogni sorta di diavoleria.

La monetizzazione delle condotte tenute si concretizzava attraverso la vendita di log-in di autenticazione per la fruizione di servizi online, la cessione ad altri “colleghi” di porzioni della rete controllata e l’utilizzo delle credenziali di accesso a conti correnti online per il riciclaggio di denaro attraverso il noto sistema “money-mule”.

Leggi anche:  AV-TEST conferma l’efficacia al 100% di tre prodotti Kaspersky contro il ransomware

La perdita di un’attività così lucrativa non poteva far altro che scatenare le ire del capobanda.

Infatti, dopo aver riguadagnato il controllo della rete, il leader della banda, forte dei suoi 13 milioni di PC zombie, dava corso ad un massiccio attacco DDoS verso la Digital Intelligence, che metteva in ginocchio anche un ISP e paralizzato il traffico di moltissimi utenti per diverse ore.

Nella concitazione del momento, però, il furfante commetteva il fatale errore di connettersi ai server C&C Mariposa direttamente dalla sua abitazione.

Per gli investigatori è stato un gioco da ragazzi catturarlo: si tratta di un trentunenne spagnolo, di cui è stato reso noto solo il nick di battaglia “Netkairo”.

Dal materiale hardware sequestrato è stato possibile risalire ad altri due complici connazionali –“Jonyloleante” e “Ostiator” – tratti in arresto alcuni giorni fa ed ad un possibile quarto membro – “Phoenix” – non ancora identificato, ma che sembrerebbe essere residente in Venezuela.

Per il gruppo, conosciuto come “Días de Pesadilla” – giorni da incubo -, si prospettano… giorni da incubo.