Panda Security ликвидировала крупную бот-сеть Mariposa

Компания Panda Security совместно с компанией Defence Intelligence и международными правоохранительными органами провели расследование кибер-преступления. Несколько организаторов крупной бот-сети Mariposa были арестованы. С помощью «Mariposa» мошенники осуществляли кражу регистрационных данных пользователей социальных сетей, онлайновых почтовых сервисов, а также банковские реквизиты и реквизиты кредитных карт. Преступникам удалось украсть 12,7 миллионов персональных, корпоративных, правительственных и образовательных IP-адресов более чем в 190 странах мира. От этой бот-сети пострадали до 50% компаний, входящих в список Fortune 1000 (это список тысячи самых крупных компаний США по версии журнала Fortune). По предварительным оценкам нанесенный ущерб исчисляется миллионами долларов. Сеть Mariposa стала одной из самых крупных зарегистрированных бот-сетей. Первым её обнаружил Кристофер Дэвис, исполнительный директор Defence Intelligence. Он отмечает: «Было бы проще составить список компаний из Fortune 1000, которые не подверглись заражению, чем тех, чья информация была украдена». Сразу после обнаружения «Mariposa» в мае 2009 года создали рабочую группу Mariposa. Ее возглавили Panda Security, Defence Intelligence и Georgia Tech Information Security Center. Эти компании начали сотрудничать с другими международными экспертами в области безопасности и права, чтобы уничтожить бот-сеть и наказать её организаторов. В итоге главный бот-мастер по прозвищу «Netkairo» или «hamlet1917», а также его ближайшие партнеры-операторы бот-сети «Ostiator» и «Johnyloleante» были арестованы. Предварительный анализ деятельности бот-сети Mariposa, проведенный Panda Security, показал: 1) Бот-мастер Mariposa устанавливал на ПК пользователей различные вредоносные коды (продвинутые кейлоггеры, банковские трояны наподобие Zeus, трояны удаленного доступа и др.). Благодаря этому мошенник мог контролировать компьютеры-зомби. 2) Чтобы зарабатывать деньги бот-мастер продавал части бот-сети, устанавливая панели типа pay-per-install (заплати-за-установку). Также преступник продавал украденные конфиденциальные данные для доступа к онлайновым сервисам, а с помощью чужих банковских данных и реквизитов банковских карт оплачивал покупки на различных сайтах. 3) Бот-сеть Mariposa особенно эффективно распространялась в сетях P2P, через USB-приводы и ссылки MSN. Дэйв Дэйгон из Georgia Tech Information Security Center считает, что: «Вместо того чтобы составлять диаграммы, нам следует относиться к бот-сетям как к преступлению, а не как к объекту для изучения». Рабочая группа Mariposa официально получила контроль над коммуникационными каналами, которыми пользовалась сеть «Mariposa», за счет чего отрезала бот-сеть от её создателей-преступников. Вскоре после отключения бот-сети в декабре в отместку началась DDoS-атака против Defence Intelligence. Она была настолько мощной, что оказала чрезвычайно негативное воздействие на работу крупного провайдера интернет-сервисов. Многие клиенты на несколько часов лишились доступа в Интернет. Panda Security и Defence Intelligence пытаются установить контакт с пострадавшими организациями. Чтобы выяснить, не стала ли Ваша организация жертвой преступников, обращайтесь по адресам [email protected] или [email protected].