Panda Security ликвидировала крупную бот-сеть Mariposa

Panda Security ликвидировала крупную бот-сеть Mariposa

Компании Panda Security и Defence Intelligence, производители решений IT- безопасности, сообщают, что бот-сеть «Mariposa» была ликвидирована. Испанские правоохранительные органы задержали троих подозреваемых, которые предположительно управляли данной сетью.

С помощью «Mariposa» мошенники осуществляли кражу регистрационных данных пользователей социальных сетей, онлайновых почтовых сервисов, а также банковские реквизиты и реквизиты кредитных карт.

Преступникам удалось украсть 12,7 миллионов персональных, корпоративных, правительственных и образовательных IP-адресов более чем в 190 странах мира.

От этой бот-сети пострадали до 50% компаний, входящих в список Fortune 1000 (это список тысячи самых крупных компаний США по версии журнала Fortune). По предварительным оценкам нанесенный ущерб исчисляется миллионами долларов.

Бот-сеть «Mariposa» была ликвидирована 23 декабря 2009 года благодаря совместным усилиям различных экспертов в области безопасности и права из Panda Security, Defence Intelligence, ФБР и испанских правоохранительных органов (Guardia Civil).

Сеть «Mariposa» стала одной из самых крупных зарегистрированных бот-сетей. Первым её обнаружил Кристофер Дэвис, исполнительный директор Defence Intelligence. Он отмечает: «Было бы проще составить список компаний из Fortune 1000, которые не подверглись заражению, чем тех, чья информация была украдена».

Сразу после обнаружения «Mariposa» в мае 2009 года создали рабочую группу Mariposa. Ее возглавили Panda Security, Defence Intelligence и Georgia Tech Information Security Center.

Эти компании начали сотрудничать с другими международными экспертами в области безопасности и права, чтобы уничтожить бот-сеть и наказать её организаторов.

В итоге главный бот-мастер по прозвищу «Netkairo» или «hamlet1917», а также его ближайшие партнеры-операторы бот-сети «Ostiator» и «Johnyloleante» были арестованы.

«Вновь, благодаря совместным усилиям различных международных и национальных правоохранительных органов и индустрии интернет-безопасности, мы смогли устранить глобальную кибер-угрозу», — сказал Хуан Салом, командир подразделения по борьбе с кибер-преступлениями в составе испанской полиции (Guardia Civil).

По словам представителя CDmon, интернет-провайдера, в сети которого были размещены домены преступников: «Мы очень гордимся тем, что смогли принять участие в этой международной операции и помочь в отключении бот-сети. Проведенная совместная работа – это большая победа в борьбе с кибер-преступниками».

Педро Бустаманте, старший научный консультант Panda Security, отметил: «Мы чрезвычайно гордимся результатами деятельности рабочей группы Mariposa и той скоростью, с которой мы смогли раскрыть массивную бот-сеть и обезвредить ее руководителей.

Однако наш предварительный анализ показал, что эти бот-мастера не являются такими уж продвинутыми хакерами. И это особенно тревожный знак. Это доказывает, что современное ПО для распространения вредоносных кодов стало очень изощренным и эффективным.

Сегодня даже неопытные кибер-преступники могут наносить пользователям серьезный вред».

Ботнет Mariposa

Mariposa ботнет , обнаруженная декабря 2008, [1] является ботнет в основном участвуют в cyberscamming и отказ в обслуживании нападения .

[2] [3] До того, как сам ботнет был демонтирован 23 декабря 2009 года, он состоял из до 12 миллионов уникальных IP-адресов или до 1 миллиона отдельных компьютеров-зомби, зараженных « ботом Butterfly ( mariposa на испанском языке)», что делало его один из крупнейших известных ботнетов. [3] [4] [5]

History[edit]

Origins and initial spread[edit]

Ботнет был первоначально создан командой DDP ( исп. Días de Pesadilla Team , англ .: Nightmare Days Team ) с использованием вредоносной программы под названием «Butterfly bot», которая также продавалась различным лицам и организациям.

[2] [6] Целью этой вредоносной программы была установка на незараженный компьютер, отслеживание активности на предмет паролей, банковских учетных данных и кредитных карт.

[2] После этого вредоносная программа попытается распространиться на другие подключаемые системы, используя различные поддерживаемые методы, такие как MSN , P2P и USB . [7]

After completing its initial infection routine the malware would contact a command-and-control servers within the botnet. This command and control server could be used by the controllers of the botnet, in order to issue orders to the botnet itself.[8]

Operations and impact[edit]

The operations executed by the botnet were diverse, in part because parts of the botnet could be rented by third party individuals and organizations.[9] Confirmed activities include denial-of-service attacks, e-mail spam, theft of personal information, and changing the search results a browser would display in order to show advertisements and pop-up ads.[8][10]

Due to the size and nature of a botnet its total financial and social impact is difficult to calculate, but initial estimates calculated that the removal of the malware alone could cost «tens of millions of dollars».

[8][11] After the apprehension of the botnet's operators government officials also discovered a list containing personal details on 800,000 individuals, which could be used or sold for Identity theft purposes.

[11]

Dismantling[edit]

In May 2009 the Mariposa Working Group (MWG) was formed as an informal group, composed of Defence Intelligence, the Georgia Tech Information Security Center and Panda Security, along with additional unnamed security researchers and law enforcement agencies. The goal of this group was the analysis and extermination of the Mariposa botnet itself.[8]

On 23 December 2009 the Mariposa Working Group managed to take control of the Mariposa Botnet, after seizing control of the command-and-control servers used by the botnet.

The operational owners of the botnet eventually succeeded in regaining control over the botnet, and in response launched a denial-of-service attack on Defence Intelligence.

[8] The attack itself managed to knock out Internet connectivity for a large share of the ISP's customers, which included several Canadian universities and government agencies.[12]

On 3 February 2010, the Spanish national police arrested Florencio Carro Ruiz (alias: Netkairo) as the suspected leader of the DDP Team. Two additional arrests were made on 24 February 2010. Jonathan Pazos Rivera (alias: Jonyloleante) and Juan Jose Bellido Rios (alias: Ostiator) were arrested on the suspicion of being members of DDP.[3][8][13][14][15]

On 18 July 2010, Matjaž Škorjanc (alias: Iserdo), the creator of the «Butterfly bot» malware, was arrested in Maribor by Slovenian police for the first time,[16] but released due to lack of evidence. He was arrested again in October 2011.

[17] In December 2013 Škorjanc was convicted in Slovenia of «creating a malicious computer program for hacking information systems, assisting in wrongdoings and money laundering.»[18] He was sentenced to 4 years and 10 months imprisonment and fined €3,000 ($4,100).

[19] The court also ordered the seizure of Škorjanc's property acquired with the proceeds of crime.[20] After he appealed the verdict his fine was in February 2015 raised for additional 25,000 EUR.[21]

On 5 June, 2019, US law enforcement opened a new case in the operations of the Mariposa (Butterfly Bot, BFBOT) malware gang. FBI has moved forward with new charges and arrest warrants against four suspects including NiceHash's operator Matjaž Škorjanc.[22]

References[edit]

1. ^ «FBI arrests 'mastermind' of Mariposa botnet computer code». The Daily Telegraph. London. 28 July 2010. Retrieved 29 July 2010. CS1 maint: discouraged parameter (link)
2. ^ a b c Zerdin, Ali (28 July 2010). «Cyber mastermind arrested, questioned in Slovenia». The Washington Times.

   Washington, D.C. Retrieved 29 July 2010. CS1 maint: discouraged parameter (link)

3. ^ a b c «Suspected 'Mariposa Botnet' creator arrested». canada.com. 28 July 2010. Archived from the original on May 11, 2011. Retrieved 29 July 2010.

   CS1 maint: discouraged parameter (link)

4. ^ Thompson, Matt (7 October 2009). «Mariposa Botnet Analysis» (PDF). Defintel. Retrieved 29 July 2010. CS1 maint: discouraged parameter (link)
5. ^ Krebs, Brian. «Accused Mariposa Botnet Operators Sought Jobs at Spanish Security Firm». Retrieved 14 October 2014.

   CS1 maint: discouraged parameter (link)

6. ^ «FBI says cyber mastermind nabbed». The New Zealand Herald. 28 July 2010. Retrieved 29 July 2010. CS1 maint: discouraged parameter (link)[dead link]
7. ^ Coogan, Peter (7 October 2009). «The Mariposa/Butterfly Bot Kit». Symantec. Retrieved 29 July 2010.

   CS1 maint: discouraged parameter (link)

8. ^ a b c d e f Corrons, Luis (3 March 2010). «Mariposa botnet». Panda Security. Retrieved 29 July 2010. CS1 maint: discouraged parameter (link)
9. ^ «Massive Mariposa botnet shut down». Help Net Security. 3 March 2010.

   Retrieved 29 July 2010. CS1 maint: discouraged parameter (link)

10. ^ Krebs, Brian (4 March 2010). «'Mariposa' Botnet Authors May Avoid Jail Time». Krebs on Security. Retrieved 29 July 2010. CS1 maint: discouraged parameter (link)
11. ^ a b «Spain busts ring accused of infecting 13 mln PCs». Reuters. 2010-03-02.

    Retrieved 2010-07-29. CS1 maint: discouraged parameter (link)

12. ^ Larraz, Teresa (3 March 2010). «UPDATE 1-Spain busts ring accused of infecting 13 mln PCs». Reuters. Retrieved 29 July 2010. CS1 maint: discouraged parameter (link)
13. ^ Ragan, Steve (3 March 2010). «Mariposa botnet – 12.7 million bots strong – knocked offline».

    The Tech Herald. Archived from the original on 25 July 2010. Retrieved 29 July 2010. CS1 maint: discouraged parameter (link)

14. ^ «Cyber mastermind arrested, questioned in Slovenia». WTOP-FM. Retrieved 29 July 2010.

    CS1 maint: discouraged parameter (link)[dead link]

15. ^ «FBI, Slovenian and Spanish Police Arrest Mariposa Botnet Creator, Operators». FBI National Press Office. Washington, D.C. 28 July 2010. Retrieved 27 December 2013.

    CS1 maint: discouraged parameter (link)

16. ^ «FBI potrdil aretacijo štajerskega hekerja; ta že na prostosti» [FBI Confirms the Arrest of the Styrian Hacker; He Is Already at Large] (in Slovenian). 28 July 2010.
17. ^ «Afera Mariposa: Škorjanc se ni želel zagovarjati» [Mariposa Affair: Škorjanc Refuses to Defend Himself]. Delo.si (in Slovenian).

    6 August 2012.

18. ^ «Creator of Mariposa Botnet Sentenced to 58 Months in Prison». Security Week. 23 December 2013. Retrieved 27 December 2013. CS1 maint: discouraged parameter (link)
19. ^ «Hacker sentenced for 'malicious' programme». IOL. 24 December 2013. Retrieved 27 December 2013.

    CS1 maint: discouraged parameter (link)

20. ^ «Mariposa botnet 'mastermind' jailed in Slovenia». BBC News. 24 December 2013. Retrieved 27 December 2013. CS1 maint: discouraged parameter (link)
21. ^ «Mariposa Botnet Hacker Fails with Appeal at Higher Court». Slovenian Press Agency. 5 February 2015. Archived from the original on 2015-03-05.
22. ^ «Eight years later, the case against the Mariposa malware gang moves forward in the US». ZDNet. 2019-06-11. Retrieved 2019-06-11.

External links[edit]

• Analysis of the Mariposa botnet

Panda Security помогла арестовать хакера Iserdo

10 Августа 2010 14:08 10 Авг 2010 14:08 |

Компании Panda Security, производитель «облачных» решений безопасности, и Defence Intelligence помогли поймать киберпреступника. Компании предоставили ФБР и другим международным органам важную информацию, благодаря которой удалось поймать 23-летнего хакера Iserdo. Доказано, что именно он является создателем набора «Бабочка» (Butterfly), на котором основаны многие бот-сети.

Обычно бот-сети используют определенные наборы вредоносных программ.

Panda Security и Defence Intelligence, а также их партнеры из рабочей группы Mariposa в течение двух лет анализировали набор ПО «Бабочка» (на ее основе была создана бот-сеть Mariposa).

Благодаря полученным данным правоохранительные органы смогли вычислить хакера Iserdo. Он был арестован в Мариборе (Словения), однако в настоящее время выпущен под залог, говорится в сообщении Panda Security.

Набор «Бабочка» свободно продавался в интернете, его стоимость составляла от €500 до €1,5 тыс. ($650 – $2 тыс.). Набор был очень прост в использовании: любой человек, даже не обладающий специальными навыками работы с компьютером, мог совершать массовые кибер-преступления.

По информации Panda Security, на основе «Бабочки» было создано почти 10 тыс. уникальных вредоносных программ и более 700 бот-сетей. Их жертвами стали сотни финансовых институтов и государственных учреждений, а также миллионы частных организаций и физических лиц по всему миру.

«За последние два года набор «Бабочка» был продан еще сотням других преступников. Он стал одним из самых известных в мире», – рассказал директор ФБР Роберт С. Мюллер III (Robert Swan Mueller III).

«Арест Iserdo – это первый случай преследования автора набора вредоносных программ, обычно ловят операторов бот-сетей, – отметил Кристофер Дэвис (Christopher Davis), исполнительный директор Defence Intelligence. – Мы должны пойти дальше – найти людей, которые пишут вредоносные коды, продают и распространяют их. А также каналы, которые они используют для обналичивания украденных карт и банковских данных».

Со своей стороны Хуан Сантана, исполнительный директор Panda Security, заявил: «Мы уверены, что для эффективной борьбы с кибер-преступностью необходимо объединить усилия организаций компьютерной безопасности и государственных органов.

Мы должны вместе добиваться принятия законов, которые позволят применять санкции в отношении преступников.

Также необходимо обеспечить хорошую подготовку рабочих групп (таких как рабочая группа Mariposa) для разработки адекватных предупреждающих и восстановительных мер по борьбе с кибер-преступниками».

Как отметили в Panda Security, за последние несколько месяцев рабочая группа Mariposa внесла свой вклад в арест пяти кибер-преступников и помогла ликвидировать одну из крупнейших бот-сетей в мире – Mariposa. Тем временем, Defence Intelligence создала специальную сеть sinkhole, куда перенаправляются сотни бот-сетей – это помогает предотвратить их распространение и облегчает анализ.

Татьяна Короткова

Короткая ссылка

Panda Security помогла арестовать хакера

Компании Panda Security, производитель «облачных» решений безопасности, и Defence Intelligence помогли поймать кибер-преступника. Эти компании предоставили ФБР и другим международным органам важную информацию, благодаря которой удалось поймать 23-летнего хакера Iserdo. Доказано, что именно он является создателем набора «Бабочка» (Butterfly), на котором основаны многие бот-сети.

Обычно бот-сети используют определенные наборы вредоносных программ.

Компании Panda Security и Defence Intelligence, а также их партнеры из Рабочей группы Mariposa в течение двух лет анализировали набор программного обеспечения «Бабочка» (на ее основе была создана бот-сеть Mariposa).

Благодаря полученным данным правоохранительные органы смогли вычислить хакера Iserdo. Он был арестован в Мариборе (Словения), однако в настоящее время выпущен под залог.

Набор «Бабочка» свободно продавался в Интернете, его стоимость составляла от 500 € до 1500 € (650 $ — 2000 $ США).

Набор был очень прост в использовании: любой человек, даже не обладающий специальными навыками работы с компьютером, мог совершать массовые кибер-преступления. На основе «Бабочки» было создано почти 10 000 уникальных вредоносных программ и более 700 бот-сетей.

Их жертвами стали сотни финансовых институтов и государственных учреждений, а также миллионы частных организаций и физических лиц по всему миру.

«За последние два года набор «Бабочка» был продан еще сотням других преступников. Он стал одним из самых известных в мире», — рассказал Директор ФБР Роберт С. Мюллер, III.

«Арест Iserdo – это первый случай преследования автора набора вредоносных программ, обычно ловят операторов бот-сетей, — отметил Кристофер Дэвис, Исполнительный директор Defence Intelligence. – Мы должны пойти дальше – найти людей, которые пишут вредоносные коды, продают и распространяют их. А также каналы, которые они используют для обналичивания украденных карт и банковских данных».

Трой Джеффри, Заместитель помощника директора кибер-подразделения ФБР, согласен с Дэвисом: «Мы не просто задержали вора, который ворвался в Ваш дом. Мы арестовали того, кто предоставил вору лом, карту и обозначил лучшие дома в округе. И это огромный прорыв в расследовании кибер-преступлений».

Хуан Сантана, Исполнительный директор Panda Security, отметил: «Мы очень гордимся тем, что мы смогли помочь вычислить и арестовать Iserdo. Но мы понимаем, что это лишь один из многих кибер-мошенников и что впереди еще очень много работы.

Мы уверены, что для эффективной борьбы с кибер-преступностью необходимо объединить усилия организаций компьютерной безопасности и государственных органов. Мы должны вместе добиваться принятия законов, которые позволят применять санкции в отношении преступников.

Также необходимо обеспечить хорошую подготовку рабочих групп (таких как Рабочая группа Mariposa) для разработки адекватных предупреждающих и восстановительных мер по борьбе с кибер-преступниками».

За последние несколько месяцев Рабочая группа Mariposa внесла свой вклад в арест пяти кибер-преступников и помогла ликвидировать одну из крупнейших бот-сетей в мире – Mariposa.

Тем временем, компания Defence Intelligence создала специальную сеть «sinkhole», куда перенаправляются сотни бот-сетей. Это помогает предотвратить их распространение и облегчает анализ.

«Благодаря этому десятки миллионов пользователей, уникальных IP-адресов попадают к нам, а не к «плохим парням», — говорит Мэтт Томпсон, Ведущий научный сотрудник Defence Intelligence.

Правоохранительные органы в настоящий момент изучают пользователей набора «Бабочка», и в ближайшее время ожидается новая серия арестов.

О Defence Intelligence

Defence Intelligence – это частная компания, работающая в сфере информационной безопасности и специализирующаяся на защите от утечки конфиденциальной информации. Компания находится в Оттаве (Канада), её основатели признаны общемировыми экспертами.

Они возглавляют группу информационной безопасности компаний, входящих в Fortune 50, консультируют сотни частных предприятий и государственных органов, а также участвуют в захвате и судебном преследовании международных компьютерных преступников.

Для получения более подробной информации: http://www.defintel.com.

О Panda Security

Компания Panda Security основана в 1990 году и является ведущим мировым провайдером «облачных» решений безопасности. Продукты компании доступны на 23 языках, а количество пользователей по всему миру исчисляется миллионами.

Компания Panda Security первой среди компаний сферы IT-безопасности начала использовать все преимущества обработки данных «в облаке» в рамках своей технологии Коллективного разума.

Данная инновационная модель безопасности способна автоматически в ежедневном режиме анализировать и классифицировать тысячи новейших экземпляров вредоносного ПО, обеспечивая корпоративным клиентам и домашним пользователям наиболее эффективную защиту от Интернет-угроз при минимальном воздействии на производительность ПК. Компания Panda Security имеет 56 офисов в мире со штаб-квартирами в Калифорнии и в Испании.

В рамках социальной инициативы Panda Security является спонсором Специальных Олимпийских игр (Special Olympics), Всемирного фонда дикой природы (WWF) и Фонда «Инвестиции для детей» (Invest for Children).

Для получения более подробной информации: http://www.viruslab.ru/

Новости

Реклама бентонита в интернете — успехи и провалы Размещена: 23 декабря 2012
Новое в блоге компании АРБ-Консалтинг: АРБ-Консалтинг автоматизирует подачу и оплату рекламных объявлений в газету

АРБ-Консалтинг для одного их своих клиентов разработал специальную программу автоматизации подачи и оплаты рекламного объявления в издание.

Размещена: 15 сентября 2010
Аналитики прогнозируют рост объемов рынка видеорекламы в интернете

Рынок онлайн-видео в последние несколько лет является одним из самых быстрорастущих сегментов Рунета.

Основными факторами, способствующими его росту, по мнению аналитиков компании J’son & Partners Consulting, являются увеличение проникновения ШПД в России, увеличение пропускной способности каналов связи, создание большого числа онлайн-порталов, содержащих видеоконтент, и стремление рекламодателей получить новые рекламные возможности.

Размещена: 15 сентября 2010
Новое в блоге компании АРБ-Консалтинг: «Сайт как зеркало маркетинга компании»

Последний большой проект по редизайну сайта группы компаний зашел в тупик из-за отсутствия согласия среди ТОП-менеджеров группы компаний относительно глобальной маркетинговой стратегии.

Размещена: 15 июня 2010
Яндекс запустил собственный антивирус

Компания «Яндекс» объявила о запуске собственного антивируса, который на самом деле правильнее было бы назвать базой данных зараженных сайтов.

Размещена: 15 июня 2010
IT сектор восстановится к 2011 году

Российский IT-сектор полностью восстановится от кризиса к 2011 году, полагают в инвестбанке «Уралсиб».

Размещена: 15 июня 2010
В Интернете покупают в 2 раза больше!

Число активных сетевых покупателей, совершающих покупки как минимум один раз в месяц или чаще, выросло в России за прошедший год почти вдвое и составило 52%, говорится в исследовании компании «Ромир». Количество россиян, приобретавших товары через интернет, выросло на 8% и составило 70% от общего числа посетителей онлайн — магазинов.

Размещена: 15 июня 2010
III ЕЖЕГОДНАЯ КОНФЕРЕНЦИЯ «МАРКЕТИНГ СЕГОДНЯ: ВЗГЛЯД ИЗНУТРИ»

Международная молодежная организация AIESEC приглашает студентов и будущих профессионалов в области маркетинга принять участие в III ежегодной конференции «Маркетинг сегодня: взгляд изнутри», которая пройдет 25 марта 2010 года в Российской экономической академии им. Г.В. Плеханова.

Размещена: 11 марта 2010
Panda Security ликвидировала крупную бот — сеть Mariposa

Компания Panda Security совместно с компанией Defence Intelligence и международными правоохранительными органами провели расследование кибер-преступления. Несколько организаторов крупной бот-сети Mariposa были арестованы.

В испании арестовали "пастухов" крупнейшего ботнета

≡ Безопасность | Новости | 03.03.2010 17:28комментировать версия для печати

Испанская полиция арестовала трёх человек, которые подозреваются в создании ботнета из 12,7 млн компьютеров. Злоумышленники использовали эту огромную зомби-сеть для кражи данных о кредитных картах и паролей к системам онлайн-банкинга, сообщает Associated Press.

Киберпреступники начали действовать ещё в декабре 2008 года, и только в мае следующего года на их деятельность обратили внимание специалисты канадской компании Defence Intelligence. Через некоторое время выяснилось, что злоумышленники пользуются хакерским тулкитом Butterfly, который когда-то распространялся через bfsecurity.net.

Согласно описанию инструментария, он предназначен для скрытой работы на WINNT-компьютерах.

Вредонос умеет распространяться тремя способами: через ссылки в программе для обмена мгновенными сообщениями MSN Messenger (она же Windows Live Messenger), через USB-флешки и через пиринговые сети (приводился такой список сетей: «ares, bearshare, imesh, shareaza, kazaa, dcplusplus, emule, emuleplus, limewire»).

По другим сообщениям, изначально распространение вредоноса производилось через некую уязвимость в майкрософтовском браузере.

Тулкит поддерживает обновление вредоносного ПО и загрузку новых модулей, так что теоретически его можно использовать для любых зловредных целей. В данном случае на целевые компьютеры устанавливались программы для кражи паролей в браузерах Internet Explorer и Firefox и сбора email-адресов.

Кроме того, в начале ноября 2009 года на некоторые из зомби-компьютеров сети была установлена одна из версий DDoS-бота BlackEnergy, и уже на следующий день они провели атаку на три религиозно-политических веб-форума в Саудовской Аравии. (Можно предположить, что пастухи ботнета сдали часть сети в аренду каким-то политически-озабоченным гражданам.)

В Defence Intelligence этот ботнет нарекли красивым именем Mariposa, что по-испански означает то же, что и Butterfly по-английски — «бабочка». Дело в том, что часть серверов с контролирующими центрами ботнета располагалась в Испании.

Всего компания приводит список из трёх десятков серверов, с которыми Mariposa-боты связывались за весь период наблюдения. Испанских среди них около трети.

Это наводит на подозрение, что речь идёт не об одном большом ботнете, а о нескольких, построенных при помощи одного хакерского инструментария, тем более что к февралю 2010 года канадские киберзащитники насчитали около 1500 вариантов вредоносного ПО, распространяющегося с этих серверов.

Тем не менее в Defence Intelligence относятся к «Бабочке» как к одной огромной зомби-сети. К настоящему моменту она насчитывает без малого 13 млн компьютеров, хотя в сентябре таких ботов было всего 150-200 тысяч с ежедневным приростом в 7 тысяч.

В Symantec, где занимались изучением ботнета Mariposa независимо от канадцев, отмечают, что в последние несколько месяцев в этой сети наиболее активно распространялся червь, который в компании назвали Pilleuz. Компьютеров, заражённых этим вредоносом, больше всего в Индии, Мексике и США.

При всём этом боты Mariposa были замечены в 190 странах мира. Эксперты обнаружили заражённые компьютеры в половине компаний из списка Fortune 1000 и в 40 с лишним крупнейших банках.

Для борьбы с ботнетом Defence Intelligence скооперировалась с испанскими безопасниками из Panda Software и Центром информационной безопасности штата Джорджия. В февральском PDF-отчёте Defence Intelligence сообщается, что все 30 контролирующих серверов ботнета были вырублены ещё 23 декабря прошлого года.

А недавно испанская полиция арестовала троих молодых людей возраста 25, 30 и 31 года, которые имеют непосредственное отношению к управлению «Бабочкой». В интересах следствия пока не сообщаются ни их имена, ни количество денег, которые им удалось выкрасть с банковских счетов владельцев заражённых компьютеров. Каждому светит до 6 лет тюрьмы.

Все подозреваемые, по мнению экспертов, сотрудничавших с полицией, не производят впечатления крутых хакеров. Что, в общем, и неудивительно, если они всего лишь пользовались чужим софтом.

Что до того, что стало с самой зомби-сетью после закрытия командных серверов и арестов «пастухов», то тут всё довольно туманно, хотя пресса и говорит о том, что ботнет якобы вырублен. Например, статистика Symantec по червю Pilleuz, который они связывают с «Бабочкой», показывает, что он сохраняет довольно стабильную активность по сей день (при этом всплеск был во второй половине января).

А бывший глава подразделения по компьютерным преступлениям Минюста США Марк Раш (Mark Rasch) высказал агентству Reuters свои подозрения в том, что за ботнетом Mariposa стоит больше людей, чем эти трое испанцев, и что сеть вскоре вновь оживёт.

Всё это, скорее всего, объясняется одним: Mariposa — это не один, а группа ботнетов, построенных при помощи одного тулкита. Ближайший аналог — инструментарий Zeus/Zbot, которым пользуются все кому не лень и который, кстати, тоже нацелен на кражу банковских паролей.

(обновлено в 18.10) Сообщение руководителя PandaLabs Луиса Корронса (Luis Corrons) проливает чуть больше света на ситуацию.

Оказывается, 23 декабря ботнет не завалили, а перехватили контроль над ним.

Во время последовавшей борьбы за обладание ботнетом один из злоумышленников случайно засветил свой домашний компьютер, после чего и был арестован в начале февраля этого года. Его товарищей взяли 24 февраля.

Корронс также говорит, что на дисках преступников была найдена, помимо прочего, информация об их клиентах — потенциальных арендаторах бот-сети, скупщиков краденых кредиток и т.п.

разделы: Новости | Безопасность