Continua l’incessante guerra che le autorità hanno dichiarato nei confronti delle varie botnet che infettano e controllano milioni di PC in tutto il mondo. Dopo la botnet Waledac, sgominata da Microsoft la scorsa settimana, ecco cadere un’altra di queste reti.
Grazie ad una collaborazione tra la polizia spagnola e l’FBI, a cadere adesso è stata la botnet Mariposa, considerata la più grande del mondo nonché in grado di infettare ben 13 milioni di computer in 190 paesi del mondo.
A seguito delle indagini congiunte, la polizia iberica è arrivata ad arrestare i tre responsabili, i quali avrebbero tra i 25 e i 31 anni e non sarebbero, secondo quanto dichiarato delle autorità, dei veri e propri cracker esperti, al punto da non aver nemmeno realizzato il virus usato per infettare i PC degli utenti, il quale sarebbe stato acquistato invece sul mercato nero.
Secondo Juan Salon, capo dell’unità cybercrime della Guardia Civil spagnola, se i responsabili fossero stati più esperti i danni provocati sarebbero stati ancora maggiori:
Fortunatamente questa botnet di 13 milioni di computer era controllata da gente che non aveva realizzato quanto fosse potente.
La “mente” del gruppo, un basco di 31 anni, era riuscito comunque a infettare milioni di macchine dalle quali sono state prelevate informazioni riservate quali dati bancari e dati personali di circa 800.000 utenti, ma non è chiaro se questi dati siano stati poi utilizzati per furti veri e propri o se i responsabili si siano limitati ad usarli al fine di inviare grosse quantità di spam.
La chiusura della botnet è stata effettuata il 23 dicembre 2009, ma le autorità, che si sono avvalse della collaborazione di due aziende del settore come Panda Security and Defence Intelligence, hanno potuto arrestare solo oggi i responsabili.
Il team, composto dagli esperti degli enti coinvolti, avrebbe lavorato a stretto contatto fin da maggio, facendo un lavoro di indagine consistito nell’infiltrarsi nella rete per monitorare i flussi di informazioni che vi circolavano, notando come il malware che infettava i computer venisse diffuso tramite reti P2P, pen drive USB infettate e tramite link fatti circolare tramite i frequentati canali di Messenger, ad esempio.
I tre gestori di Mariposa controllavano la loro botnet da anonimi servizi VPN (Virtual Private Network), rendendo impossibile agli investigatori di identificare i loro indirizzi IP reali, almeno fino a quando Netkairo, così si faceva chiamare il capo della banda, avrebbe tentato di riprendere il controllo della sua botnet dopo la chiusura dello scorso dicembre cerando di portare un attacco di tipo denial of service contro i server di Defence Intelligence.
La risposta degli investigatori ha quindi permesso di portare allo scoperto gli autori dietro Mariposa e di sgominare la rete, mettendo in luce, come si evidenza correttamente presso alcuni siti, come la diffusione di virus pericolosi sul mercato nero possa portare perfino cracker con conoscenza informatiche modeste a creare reti di questo tipo, in grado di infettare milioni di computer e di creare danni potenzialmente enormi.
