190 стран мира – жертвы бот-сети Mariposa

Авторы

В Испании арестованы трое операторов ботнета Mariposa — многомиллионной зомби-сети, недавно потерявшей управление благодаря целенаправленным действиям борцов за безопасность интернета.

Задержанные оказались местными жителями без криминального прошлого.

Не владея особыми хакерскими навыками, они просто приобрели на подпольном рынке готовый комплект для создания ботнета и воспользовались системой теневых сервисов, чтобы монетизировать результаты его функционирования.

Согласно законодательству страны, правонарушителям грозит тюремное заключение на срок до шести лет. Расследование идет полным ходом, ожидаются новые аресты. Сумма ущерба, нанесенного этой группировкой, пока не определена, но, по оценкам, исчисляется миллионами долларов.

Ботнет Mariposa специализировался на краже персональных идентификаторов к веб-аккаунтам и банковских реквизитов. Его боевые порядки насчитывают 12,7 млн.

IP-адресов, привязанных к ресурсам 190 стран, а среди жертв числятся половина компаний из списка Fortune 1000 и более 40 крупнейших банков.

Ботнет появился в Сети в конце 2008 года, а осенью 2009-го попал под прицел канадских экспертов по сетевой безопасности.

Когда выяснилось, что управляющие центры Mariposa находятся на территории Испании, была сформирована интернациональная рабочая группа по оказанию противодействия. Помимо канадцев и американцев, в ее состав вошли представители Panda Security.

К концу декабря при содействии хостинг-провайдеров ботнет удалось обезглавить.

Один из его операторов попытался восстановить управление сетью через свой домашний компьютер и даже отомстил обидчикам DDoS-атакой, но только обнаружил себя: обычно связь с командными серверами осуществлялась скрытно, через VPN-соединения.

По отзывам экспертов, червь-полиморфик Mariposa (в классификации ЛК P2P- Worm.Win32.Palevo) выполнен с большим профессионализмом и обладает большой эффективностью.

Он распространяется через р2р-сети, USB-накопители и системы мгновенного обмена сообщениями.

Содержит функционал бэкдора, способен по удаленной команде загружать другие вредоносные файлы — кейлоггеры, банковских троянцев, компоненты для проведения DDoS-атак.

По свидетельству исследователей, червь постоянно видоизменяется, иногда с интервалом в двое суток. На настоящий момент канадские эксперты насчитали более 200 вариантов этого зловреда. Он все еще присутствует на множестве домашних, корпоративных, университетских ПК, и рабочая группа экспертов начала кампанию по их очистке.

ToddyCat является относительно новой APT-группой, ответственной за серии атак на высокостатусные организации Европы и Азии. Два ключевых отличительных признака этой группы — ранее неизвестные инструменты, которые мы назвали «бэкдор Samurai» и «троянец Ninja».

Борьба с вирусами: фронтовая сводка или сеть криминальная.. часть 2

Загрузка. Пожалуйста, подождите…

Двойной агент

Произошёл довольно неожиданный поворот в деле кардера Альберта Гонсалеса, осуществившего крупнейшую в истории США кражу номеров кредитных карт. Гонсалесу были предъявлены 19 обвинений, и он полностью признал свою вину ещё в конце 2009 года. Его ожидает суд, тюремный срок от 15 до 25 лет, а также штраф размером около 3 млн. долларов и конфискация имущества.

Между тем, недавно друг и сообщник «главного» кардера Стив Вэтт поведал миру, что всё это время Гонсалес работал на американское правительство, а именно на Секретную службу США. По его словам, Гонсалесу платили $74 тыс. наличными в год за представление информации о других кардерах. Что характерно, Секретная служба отказывается комментировать этот вопрос.

Вероятно, промышлять одним только кардингом, Гонсалесу было скучно.САРТСНА взломанСАРТСНА (от англ. «Completely Automated Public Turing test to tell Computers and Humans Apart» — полностью автоматизированный публичный тест Тьюринга для различия компьютеров и людей) — торговая марка Университета Карнеги-Меллона, в котором разработали компьютерный тест, используемый для того, чтобы определить, кем является пользователь системы: человеком или компьютером. В Рунете часто упоминается как капча. Термин появился в 2000 году. Основная идея теста: предложить пользователю такую задачу, которую может решить человек, но которую несоизмеримо сложно предоставить для решения компьютеру. В основном это задачи на распознавание символов. САРТСНА чаще всего используется при необходимости предотвратить использование интернетсервисов ботами, в частности, для предотвращения автоматических отправок сообщений, регистрации, скачивания файлов, массовых рассылок и т. п.

Варианты реализации:

В наиболее распространённом варианте САРТСНА от пользователя требуется ввести символы, как правило, изображённые на предлагаемом ему рисунке в искажённом виде, иногда с добавлением шума или полупрозрачности.

-Реже применяются САРТСНА, основанные на распознавании речи (в основном — как альтернатива для людей с нарушениями зрения).

-Могут также применяться другие плохо алгоритмизуемые задачи, например: узнать, что находится на картинке, отметить все картинки с животными или ответить на вопрос, связанный со знаниями или менталитетом людей (например, «висит груша, нельзя скушать»).

— Встречаются САРТСНА, где предлагается ввести ответ на простое арифметичес¬кое действие.

Так вот, казалось бы, как можно заработать $25 млн. на взломе этой самой капчи? Уникумы, вернее, джентльмены, которых сейчас судят в Нью-Джерси, доказали, что такое действительно возможно. Схема их работы была проста. Они перекупали на онлайновых распродажах билеты на концерты, спортивные матчи и т.п. В числе пострадавших Ticketmaster, Musictoday и Tickets.com. Для осуществления своей цели через имитацию частных лиц предприимчивые парни вплотную пообщались с бывшими сотрудниками компаний распространителей билетов, зарегистрировали две фирмы, купили диапазоны IP-адресов и сняли в аренду сервера. Но основное действие строилось на взломе визуальных и звуковых САРТСНА, которые использовали сайты онлайновой продажи билетов. А ведь подобные сайты отслеживают даже IP- адреса, телефоны и т.д. Так вот боты имитировали даже задержку от 5 до 10 секунд для визуальных капчей и 30 на звуковые.Прибегнув к помощи опытных программистов и вложив немалые деньги в разработку, мошенники сумели создать ботов, которые как орешки щёлкали формы регистрации, заполняя аккуратно все поля на лету генерируемыми телефонами, именами и е-майлами. Боты порой даже ошибались при наборе captcha, для вида якобы делая опечатки, что им позволяло лучше походить на людей. В итоге, поразительный результат — за период 2002 по 2009 годы группировка умудрилась заработать на перепродаже билетов более $25 млн.Преступная ГерманияРоссию (обычно наряду с Китаем) называют одной из самых «киберпреступных» стран мира. Но оказалось, что суперразвитые и благополучные государства Западной Европы не намного лучше — например, самой интернеткриминальной страной нашего континента стала Германия. Во всяком случае, именно такие данные содержаться в ежегодном докладе компании Symantec. По приведённым сведениям, 12% всех вирусов в Европе возникли именно в Германии. По этому показателю страна обошла не только РФ (8%), но и Великобританию (9 %). Кроме того, Германия же оказалась и главной жертвой хакеров: например, 14% всех входящих в различные ботсети ПК в Европе расположены именно в ФРГ. Таким образом, в Германии существует немалый «внутренний» оборот компьютерной заразы: вирусы создаются в этой стране и там же распространяются. Ранее столь значительный сегмент, генерирующий заразу «для собственного пользования», был разве что в США. Выводы из этих данных неутешительные: судя по всему. развивающиеся страны уже перестают быть «кузницей вредоносного кода» для всего мира. Это происходит за счёт сокращения разрыва стоимости разработки ПО на Западе и странах BRIC (устоявшийся аббревиатура от названия четырёх быстро развивающихся стран: Бразилия, Россия. Индия и Китай) киберпреступностъ начинает активно возвращаться в развитые экономики. Что из этого получится, сейчас неизвестно, но ясно, что вряд ли это будет что-то хорошее.

В Испании громкий арест ботоводов

Обычные честные пользователи сети могут с радостью поздравить и поблагодарить испанских борцов с киберпреступностью, ведь им совместно с ФБР США удалось задержать сразу троих хакеров, причастных к созданию огромного ботнета Mariposa (с испанского — «бабочка»), насчитывающего почти 13 млн. компьютеров в 190 странах мира.

О размахе ботнета говорит и тот факт, что в Испании мобильный оператор Vodafone продал 3000 свеженьких смартфонов НТС Magic, зараженных зловредным кодом, связанным с ботнетом Mariposa. Кроме обычных пользовательских компьютеров, ботнет сумел распространиться на офисные ПК компаний, входящих в Fortune 1000 — топ крупнейших корпораций мира.

Сообщается, что все трое задержанных — граждане Испании, которые называют себя DDP Team. В поимке помог случай: один из хакеров — Netkairo однажды обратился к админсистеме с отключённым VPN-coединением и «засветил» свой реальный IP-адрес. До этого, все попытки вычислить владельцев ботнета были тщетны.

В результате проведённой операции ботнет Mariposa своё существование прекратил, но миллионы зараженных ПК по-прежнему ломятся на отключённый С&С (command& control) сервер.Статистика хакеров Согласно новому отчёту Symantec, в прошлом году было обнаружено более 50% вредоносного ПО, выявленного за всё время работы компании. Произошёл чудовищный рост числа вирусов — их количество по сравнению с 2008 годом увеличилось на 71%. Всего за прошедший год обнаружено почти 3 млн. образцов вредоносного кода.В отчёте говорится, что каждую секунду хакеры совершают более 100 атак на компьютеры. И хотя большинство из них безвредны, каждые 4.5 секунды одна такая атака влияет на работу какого-било компьютера.

Неудачная обновка McAfee

Антивирус от McAfee грандиозно провалился на корпоративном уровне, вызвав сбои в десятках тысяч компьютеров по всему миру.

Очередное обновление безопасности внезапно вывело из строя жизненно важные компоненты Windows ХР! И хотя его заблокировали уже через 4 часа, этого хватило,чтобы в числе пострадавших оказалась даже всемогущая Intel, на всех компьютерах которой на территории США установлено данное ПО. Некоторые компании уже внесли McAfee в чёрный список поставщиков антивирусной защиты.

Самые беззащитные

Согласно «Отчёту об угрозах безопасности в интернете» (Internet Security Threat Report) от компании Symantec, почти две трети всех вебатак за 2009 год приходятся на два приложения — Adobe Reader и Internet Explorer. Причём наибольшей угрозой, по мнению компании, является неумение или нежелание пользователей своевременно обновлять софт, установленный на их машинах. Таким образом, новые средства нападения обычно появляются ещё до того, как пользователи успевают залатать старые прорехи в безопасности своих ПК. ———@———

Программист Сидоров познако¬мился в чате с Катей, которой 16 лет, и попросил прислать её фотку. Катя знает только формат BMP и её фотка весит 16MB ,а у Сидорова коннект на 2400, при этом связь прерывается каждые 20 минут, а дозвон после этого составляет 3 минуты и льготный тариф действует только с 3.00 до 6.00.Вопрос:

• Сколько лет будет Кате, когда программист Сидоров докапает её фотку?
• Охота на лис
• Подзарядка с трояном
• Антивирус — хорошо, но включите мозги!

———————— О сведениям компании Trusteer, занимающейся вопросами безопасности, банковский троян Zeus («Зевс») открывает охоту на FireFox. Ранее зловред предпочитал в основном Internet Explorer из-за его менее эффективной, чем у «огнелиса» защиты. Но «Зевс» новой версии преодолел защитные барьеры FireFox, и теперь около 30% банковских операций в Сети могут оказаться под угрозой. По мнению компании, в ближайшее время возрастёт количество атак на юзеров «огнелиса», пользующихся услугами интернет-банкинга. Западная ИТ-группа US- CERT обнаружила в безобидном на первый взгляд USB- заряднике Energizer DUO, предназначенном для АА и AAA батареек, самый настоящий троян.Вредоносное ПО крылось в софте, позволяющем наблюдать за уровнем заряда батареи. Именно с этим ПО на компьютер устанавливается бэкдор, идентифицирующийся Avira Antivir как BDS/Arurizer.A. Так что ставьте себе на компьютер Avira AntiVir (www.Antivjr.kiev.ua) и спите спокойно, пока ваши ба-тарейки заряжаются 😉 В Energizer уже заявили, что продажи данного устройства приостановлены и проводится расследование как вообще троян попал в сопроводительное ПО зарядника. При этом с сайта разработчика можно было скачать точно такую же версию программы с интегрированным трояном. Не так давно, угодив на сайт windefendpro.com я получил сообщение, которое своим изображением имитисювало окно Проводника с сообщением якобы от Центра обеспечения безопасности об онлайнтестировании дисков моего ПК на предмет вирусности и с отчётом об прямотаки эпидемии вирусов. Сразу предупреждаю — не верьте. Всё это примитивные трюки, направленные на то, чтобы вынудить пользователя согласиться загрузить на свой компьютер не-кую программу безопасности, хотя бы даже неявно, под видом кнопки «Лечить всё» и т.п. Разумеется, если рассуждать здраво, то становится понятно, что это очередная и далеко не новая уловка злоумышленников инфицировать компьютер. Такой же способ уже не раз использовался в недавнем времени под видом какойнибудь антиви-русной утилиты. Следует помнить, что никакой антивирус не может защитить вас от самих себя.Валентин Матвеев

Panda Security ликвидировала крупную бот-сеть Mariposa

Компании Panda Security и Defence Intelligence, производители решений IT- безопасности, сообщают, что бот-сеть Mariposa была ликвидирована. Испанские правоохранительные органы задержали троих подозреваемых, которые предположительно управляли данной сетью.

С помощью Mariposa мошенники осуществляли кражу регистрационных данных пользователей социальных сетей, онлайновых почтовых сервисов, а также банковские реквизиты и реквизиты кредитных карт.

Преступникам удалось украсть 12,7 миллионов персональных, корпоративных, правительственных и образовательных IP-адресов более чем в 190 странах мира.

От этой бот-сети пострадали до 50% компаний, входящих в список Fortune 1000 (это список тысячи самых крупных компаний США по версии журнала Fortune). По предварительным оценкам нанесенный ущерб исчисляется миллионами долларов.

Бот-сеть Mariposa была ликвидирована 23 декабря 2009 года благодаря совместным усилиям различных экспертов в области безопасности и права из Panda Security, Defence Intelligence, ФБР и испанских правоохранительных органов (Guardia Civil).

Сеть Mariposa стала одной из самых крупных зарегистрированных бот-сетей. Первым её обнаружил Кристофер Дэвис, исполнительный директор Defence Intelligence. Сразу после обнаружения Mariposa в мае 2009 года создали рабочую группу Mariposa.

Ее возглавили Panda Security, Defence Intelligence и Georgia Tech Information Security Center. Эти компании начали сотрудничать с другими международными экспертами в области безопасности и права, чтобы уничтожить бот-сеть и наказать её организаторов.

В итоге главный бот-мастер по прозвищу Netkairo или hamlet1917, а также его ближайшие партнеры-операторы бот-сети Ostiator и Johnyloleante были арестованы.

Предварительный анализ деятельности бот-сети Mariposa, проведенный Panda Security, показал:

1) Бот-мастер Mariposa устанавливал на ПК пользователей различные вредоносные коды (продвинутые кейлоггеры, банковские трояны наподобие Zeus, трояны удаленного доступа и др.). Благодаря этому мошенник мог контролировать компьютеры-зомби.

2) Чтобы зарабатывать деньги бот-мастер продавал части бот-сети, устанавливая панели типа pay-per-install (заплати-за-установку). Также преступник продавал украденные конфиденциальные данные для доступа к онлайновым сервисам, а с помощью чужих банковских данных и реквизитов банковских карт оплачивал покупки на различных сайтах.

3) Бот-сеть Mariposa особенно эффективно распространялась в сетях P2P, через USB-приводы и ссылки MSN.

Рабочая группа Mariposa официально получила контроль над коммуникационными каналами, которыми пользовалась сеть Mariposa, за счет чего отрезала бот-сеть от её создателей-преступников.

Вскоре после отключения бот-сети в декабре в отместку началась DDoS-атака против Defence Intelligence. Она была настолько мощной, что оказала чрезвычайно негативное воздействие на работу крупного провайдера интернет-сервисов.

Многие клиенты на несколько часов лишились доступа в Интернет.

Panda: Подробности ликвидации ботнета Mariposa

Компания Panda Security совместно с компанией Defence Intelligence и международными правоохранительными органами провели расследование кибер-преступления. Несколько организаторов крупной бот-сети Mariposa были арестованы.

Компании Panda Security и Defence Intelligence сообщили, что ботнет Mariposa был ликвидирован. Напомним, что в конце прошлой недели стало известно о том, что организаторы этого ботнета были задержаны испанской полицией, работавшей в сотрудничестве с ФБР США.

С помощью Mariposa мошенники осуществляли кражу регистрационных данных пользователей социальных сетей, онлайновых почтовых сервисов, а также банковские реквизиты и реквизиты кредитных карт.

Преступникам удалось инфицировать 12,7 миллионов персональных, корпоративных, правительственных и образовательных хостов более чем в 190 странах мира.

От этой бот-сети пострадали до 50% компаний, входящих в список Fortune 1000 (это список тысячи самых крупных компаний США по версии журнала Fortune). По предварительным оценкам нанесенный ущерб исчисляется миллионами долларов.

Ботнет Mariposa был ликвидирован 23 декабря 2009 года благодаря совместным усилиям различных экспертов в области безопасности и права из Panda Security, Defence Intelligence, ФБР и испанских правоохранительных органов (Guardia Civil).

Сеть Mariposa стала одной из самых крупных зарегистрированных бот-сетей. Первым её обнаружил Кристофер Дэвис, исполнительный директор Defence Intelligence. Он отмечает: «Было бы проще составить список компаний из Fortune 1000, которые не подверглись заражению, чем тех, чья информация была украдена».

Сразу после обнаружения Mariposa в мае 2009 года создали рабочую группу Mariposa. Ее возглавили Panda Security, Defence Intelligence и Georgia Tech Information Security Center.

Эти компании начали сотрудничать с другими международными экспертами в области безопасности и права, чтобы уничтожить бот-сеть и наказать её организаторов.

В итоге главный бот-мастер по прозвищу «Netkairo» или «hamlet1917», а также его ближайшие партнеры-операторы бот-сети «Ostiator» и «Johnyloleante» были арестованы.

«Вновь, благодаря совместным усилиям различных международных и национальных правоохранительных органов и индустрии интернет-безопасности, мы смогли устранить глобальную кибер-угрозу», — сказал Хуан Салом, командир подразделения по борьбе с кибер-преступлениями в составе испанской полиции (Guardia Civil).

По словам представителя CDmon, интернет-провайдера, в сети которого были размещены домены преступников: «Мы очень гордимся тем, что смогли принять участие в этой международной операции и помочь в отключении бот-сети. Проведенная совместная работа – это большая победа в борьбе с кибер-преступниками».

Педро Бустаманте, старший научный консультант Panda Security, отметил: «Мы чрезвычайно гордимся результатами деятельности рабочей группы Mariposa и той скоростью, с которой мы смогли раскрыть массивную бот-сеть и обезвредить ее руководителей.

Однако наш предварительный анализ показал, что эти бот-мастеры не являются такими уж продвинутыми хакерами. И это особенно тревожный знак. Это доказывает, что современное ПО для распространения вредоносных кодов стало очень изощренным и эффективным.

Сегодня даже неопытные кибер-преступники могут наносить пользователям серьезный вред».

Арестованы создатели крупнейшего в мире ботнета Mariposa

Совсем недавно мы писали о борьбе компании Microsoft с ботнетом Waledac. И теперь снова восторжествовала победа правосудия — удалось задержать непосредственно создателей другого ботнета под названием Mariposa. Это крупнейшая ботсеть, по аналитическим данным, состоящая почти из 13 миллионов машин зараженных пользователей.

Помимо рядовых пользователей в него входили боты из банков и крупных компаний более чем из 190 стран мира.

Итак, на этой неделе стало известно об аресте троих создателей Mariposa, которые имеют испанские корни.

Mariposa (по-испански «бабочка») начал привлекать к себе внимание со стороны антивирусных компаний еще в начале 2009 года, а свое имя получил благодаря тексту «butterfly dot sinip dot es», найденному на сайте одного из командных центров.

Данный ботнет был организован благодаря вредоносной программе, принадлежащей к семейству Win32/Peerfrag. Червь распространяется несколькими способами, что стало причиной организации многомиллионного ботнета:

— заражает расшаренные папки для пиринговых сетей Ares Galaxy, BearShare, DC++, eMule — отсылает в программах мгновенного обмена сообщениями от имени зараженного пользователя, содержащие ссылку на червя — заражает съемные носителя путем модификации файла автозапуска Возможности Win32/Peerfrag довольно обширны: — удаленная установка дополнительных вредоносных модулей и их активация — осуществление DDoS-атак — хищение персональных и финансовых данных (номера кредитных карт или платежных систем )

Киберпреступники создали свой ботнет на базе так называемого bot kit, купленного ими для этих целей. Недавно мы уже писали о похожих наборах для построения ботнетов и их непростой конкуренции. Червь написан довольно профессионально и имеет на борту множество механизмов усложняющих обратный анализ и обнаружение:

— частые обновления и модификации экземпляров червя, позволяющие обходить сигнатурное обнаружение — противодействие запуску на виртуальных машинах и в «песочницах» — защищенный протокол взаимодействия с командным центром

Сетевой протокол взаимодействия данной ботсети был подробно проанализирован компанией Palo Alto Networks, которая разработала специальный плагин для сетевого анализатора Wireshark, что позволило анализировать налету сетевой трафик Mariposa.

На данный момент в нашей антивирусной лаборатории имеется около 300 различных модификаций этого червя. Подробный анализ Mariposa можно прочитать в рамках документа, созданного рабочей группой при расследовании данного инцидента.

Поймать злоумышленников удалось благодаря случайности, когда уже стало известно о нахождении командных центров на территории Испании. Их удалось закрыть при сотрудничестве хостинг-провайдеров, что позволило обезглавить Mariposa. Однако один из киберпреступников попытался восстановить связь с ботнетом, используя свой домашний компьютер, и даже в ответ обидчикам провел DDoS-атаку. Тем самым преступник выдал себя, так как обычно все соединения осуществлялись только с использованием VPN.

Кстати, Microsoft приводит следующую статистику по зафиксированных ею инцидентам Mariposa

Ботнет Mariposa — Mariposa botnet — Wikipedia

В Ботнет Mariposa, обнаружен в декабре 2008 г.,[1] это ботнет в основном участвует в киберкамминг и атаки отказа в обслуживании.[2][3] До того как сам ботнет был демонтирован 23 декабря 2009 г.

, он состоял из до 12 миллионов уникальных IP-адресов или до 1 миллиона индивидуальных зомби-компьютеры заражены «бабочкой (Mariposa на испанском языке) Bot », что делает его одним из крупнейших известных ботнетов.

[3][4][5]

История

Происхождение и первоначальное распространение

Ботнет изначально был создан командой DDP (Испанский: Команда Диаса де Песадилья, Английский: Команда Nightmare Days), используя вредоносное ПО программа под названием «Бот-бабочка», которая также продавалась различным лицам и организациям.

[2][6] Цель этой вредоносной программы заключалась в том, чтобы установить себя на незараженный компьютер, отслеживая активность паролей, банковских учетных данных и кредитных карт.

[2] После этого вредоносная программа попытается распространиться на другие подключаемые системы, используя различные поддерживаемые методы, такие как MSN, P2P и USB.[7]

После завершения процедуры первоначального заражения вредоносная программа свяжется с командно-управляющие серверы внутри ботнета. Этот командно-контрольный сервер может использоваться контроллерами ботнета, чтобы отдавать приказы самому ботнету.[8]

Операции и влияние

Операции, выполняемые ботнетом, были разнообразными, отчасти потому, что части ботнета могли быть арендованы сторонними лицами и организациями.[9] Подтвержденные действия включают атаки отказа в обслуживании, спам в электронной почте, кража личной информации и изменение результатов поиска, отображаемых браузером для показа рекламы и всплывающих окон.[8][10]

Из-за размера и характера ботнета его общее финансовое и социальное воздействие трудно подсчитать, но первоначальные оценки подсчитали, что удаление одного только вредоносного ПО может стоить «десятки миллионов долларов».[8][11] После задержания операторов ботнета правительственные чиновники также обнаружили список, содержащий личные данные 800000 человек, которые можно было использовать или продать за Кража личных данных целей.[11]

Разборка

В мае 2009 года рабочая группа Марипоса (MWG) была сформирована как неофициальная группа, состоящая из Оборонная разведка, то Центр информационной безопасности Технологического института Джорджии и Панда Безопасность, наряду с дополнительными неназванными исследователями безопасности и правоохранительными органами. Целью этой группы был анализ и уничтожение самого ботнета Mariposa.[8]

23 декабря 2009 г. рабочая группа Mariposa смогла взять под свой контроль ботнет Mariposa после получения контроля над командно-управляющие серверы используется ботнетом.

Действующим владельцам ботнета в конечном итоге удалось восстановить контроль над ботнетом, и в ответ они запустили атака отказа в обслуживании по военной разведке.

[8] Сама атака позволила вывести из строя большую часть клиентов интернет-провайдера, в том числе несколько канадских университетов и государственных учреждений.[12]

3 февраля 2010 г. Испанская национальная полиция арестовал Флоренсио Карро Руис (псевдоним: Неткаиро) как подозреваемого лидера группы DDP. 24 февраля 2010 года было произведено еще два ареста. Джонатан Пазос Ривера (псевдоним: Jonyloleante) и Хуан Хосе Беллидо Риос (псевдоним: Остиатор) были арестованы по подозрению в принадлежности к DDP.[3][8][13][14][15]

18 июля 2010 г. в городе был арестован Матьяж Шкорянц (псевдоним: Исердо), создатель вредоносной программы «Бот-бабочка». Марибор к Словенская полиция в первый раз,[16] но отпущен за отсутствием улик. Он был снова арестован в октябре 2011 года.

[17] В декабре 2013 года Шкорьянц был осужден в Словении за «создание вредоносной компьютерной программы для взлома информационных систем, помощи в совершении правонарушений и отмывания денег».[18] Он был приговорен к 4 годам и 10 месяцам лишения свободы и штрафу. €3,000 ($4,100).

[19] Суд также постановил наложить арест на имущество Шкорянца, приобретенное на доходы от преступления.[20] После того, как он обжаловал приговор, в феврале 2015 года ему был увеличен штраф на 25 000 евро.[21]

5 июня 2019 года правоохранительные органы США открыли новое дело по факту деятельности банды вредоносных программ Mariposa (Butterfly Bot, BFBOT). ФБР выдвинуло новые обвинения и ордера на арест четырех подозреваемых, включая NiceHashОператор Матяж Шкорянц.[22]

Рекомендации

1. ^ «ФБР арестовало« вдохновителя »компьютерного кода ботнета Mariposa». Дейли Телеграф. Лондон. 28 июля 2010 г.. Получено 29 июля 2010.
2. ^ а б c Зердин, Али (28 июля 2010 г.). «Кибер-вдохновитель арестован и допрошен в Словении». Вашингтон Таймс. Вашингтон, округ Колумбия. Получено 29 июля 2010.

3. ^ а б c «Задержан подозреваемый в создании ботнета Mariposa». canada.com. 28 июля 2010 г. Архивировано с оригинал 11 мая 2011 г.. Получено 29 июля 2010.
4. ^ Томпсон, Мэтт (7 октября 2009 г.). «Анализ ботнета Mariposa» (PDF). Defintel. Получено 29 июля 2010.
5. ^ Кребс, Брайан.

   «Обвиняемые операторы ботнета Mariposa искали работу в испанской охранной фирме». Получено 14 октября 2014.

6. ^ «ФБР заявляет, что кибер-гений пойман». The New Zealand Herald. 28 июля 2010 г.. Получено 29 июля 2010.[мертвая ссылка]
7. ^ Куган, Питер (7 октября 2009 г.). «Ботинок Mariposa / Butterfly». Symantec. Получено 29 июля 2010.

8. ^ а б c d е ж Корронс, Луис (3 марта 2010 г.). «Ботнет Mariposa». Панда Безопасность. Получено 29 июля 2010.
9. ^ «Огромный ботнет Mariposa отключен». Помощь Net Security. 3 марта 2010 г.. Получено 29 июля 2010.
10. ^ Кребс, Брайан (4 марта 2010 г.).

    «'Авторы ботнета Mariposa могут избежать тюремного заключения ». Кребс о безопасности. Получено 29 июля 2010.

11. ^ а б «В Испании арестован ринг, обвиняемый в заражении 13 млн компьютеров». Рейтер. 2010-03-02. Получено 2010-07-29.
12. ^ Ларраз, Тереза ​​(3 марта 2010 г.). «ОБНОВЛЕНИЕ 1.

    В Испании арестовано кольцо, обвиняемое в заражении 13 млн компьютеров». Рейтер. Получено 29 июля 2010.

13. ^ Рэган, Стив (3 марта 2010 г.). «Ботнет Mariposa — 12,7 миллиона ботов — отключен». The Tech Herald. Архивировано из оригинал 25 июля 2010 г.. Получено 29 июля 2010.
14. ^ «Кибер-вдохновитель арестован и допрошен в Словении». WTOP-FM.

    Получено 29 июля 2010.[мертвая ссылка]

15. ^ «ФБР, полиция Словении и Испании арестовали создателя и операторов ботнета Mariposa». Национальная пресс-служба ФБР. Вашингтон, округ Колумбия, 28 июля 2010 г.. Получено 27 декабря 2013.

16. ^ «ФБР potrdil aretacijo štajerskega hekerja; ta že na prostosti» [ФБР подтверждает арест штирийского хакера; Он уже на свободе] (на словенском). 28 июля 2010 г.
17. ^ «Афера Марипоса: Škorjanc se ni želel zagovarjati» [Дело Марипосы: Шкорьянц отказывается защищаться]. Delo.si (на словенском). 6 августа 2012 г.

18. ^ «Создатель ботнета Mariposa приговорен к 58 месяцам тюрьмы». Неделя безопасности. 23 декабря 2013 г.. Получено 27 декабря 2013.
19. ^ «Хакер осужден за« вредоносную »программу». ИОЛ. 24 декабря 2013 г.. Получено 27 декабря 2013.
20. ^ «Вдохновитель ботнета Mariposa заключен в тюрьму в Словении». Новости BBC. 24 декабря 2013 г..

    Получено 27 декабря 2013.

21. ^ «Хакер ботнета Mariposa не подал апелляцию в высший суд». Словенское агентство печати. 5 февраля 2015. Архивировано с оригинал на 2015-03-05.
22. ^ «Восемь лет спустя дело против банды вредоносных программ Mariposa продвигается в США». ZDNet. 2019-06-11. Получено 2019-06-11.

внешняя ссылка

Новости лицензионного программного обеспечения (ПО, Soft)

Выход новой редакции Интернет-шлюза Ideco ICS для средних образовательных заведений

Для всех учебных заведений системы среднего общего и специального образования (школ, гимназий, колледжей, техникумов, училищ) новая редакция Ideco ICS Enterprise Academic Edition — 100 Concurrent Users будет поставляться по специальной цене — 4 500 руб.

Данная редакция позволяет обеспечивать доступ в Интернет неограниченному количеству учащихся, одновременно работающим не более чем на 100 компьютерах.

Администратору Интернет-шлюза Ideco ICS предоставляется широкий набор инструментов для решения всех типовых задач по управлению и фильтрации Интернет-трафика в учебном заведении.

Ideco ICS позволяет накапливать детальную статистику по каждой интернет-сессии каждого пользователя, ограничивать доступ учащихся к контенту, запрещенному нормативными документами, устанавливать защищенные каналы обмена данными с казначействами, банками и административными органами.

Используя встроенный в Ideco ICS набор компонентов сетевой инфраструктуры, администратор может запустить полноценный почтовый сервер с почтовым ящиком для каждого ученика, развернуть ftp-сервер, web-сервер для школьного сайта и собственный jabber-сервер для внутренних коммуникаций. Предусмотрены средства антивирусной проверки трафика и фильтрации спама.

Каждой группе пользователей могут назначаться права доступа к внешним и внутренним сетевым ресурсам, например, для педагогического состава может открываться расширенный доступ к внутреннему сетевому ресурсу, включая организационно-распорядительную документацию, данные об успеваемости и т.д., а ученикам назначаться права доступа только к школьному сайту и расписанию учебных занятий.

Интернет-шлюзы Ideco ICS способствуют обеспечению комплексной безопасности десятков тысяч пользователей сетей в государственных и коммерческих организациях, с появлением специальной школьной редакции все средние учебные заведения России и стран СНГ получили возможность значительно повысить контролируемость, автоматизацию и безопасность использования в учебном процессе современных информационных технологий. Стоимость электронной поставки Ideco ICS Enterprise Academic Edition — 100 Concurrent Users (с отправкой закрывающих документов почтой РФ) — 4500 руб.

Стоимость коробочной поставки Ideco ICS Enterprise Academic Edition — 100 Concurrent Users (с отправкой закрывающих документов и коробочной версии курьерской службой) — 5150 руб.

Mariposa (ботнет)

Эта статья — о компьютерной сети. О цветке см. Калохортус (b) .

Mariposa (с исп. (b) бабочка) — ботнет (b) , впервые появившийся в декабре 2008 года, был создан для кибермошенничества и кражи данных кредитных карт[1]. Автором ботнета является банда DDP Team, их главой является Флоренсио Карро Руис по кличке Netkairo[2].

Ботнет смог заразить около половины компаний из списка Fortune 1000 (b) и не менее 40 крупных банков[3]. В 2009 году имел от 8 до 12,7 миллионов заражённых компьютеров[4][5], находящихся в от 100[6] до 190[1] разных странах, таким образом в своё время он являлся крупнейшим ботнетом мира. Через год ботнет был нейтрализован правоохранительными органами[6].

Всего с помощью него были украдены личные данные с более 800 000 устройств[7].

Mariposa был сделан помощью набора полиморфного (b) программного обеспечения «Butterfly Bot Kit», в 2007 году с помощью него был создан ботнет Metulji (b) [6].

23 декабря 2009 Mariposa Working Group на короткий срок установили контроль над ботнетом в рамках совместной операции, однако Netkairo удалось установить контроль обратно, после чего через ботнет им была устроена крупная атака на Defence Intelligence, в результате которой от Интернета были отключены несколько канадских университетов и государственных учреждений[2].

Mariposa эффективно распространялся через одноранговые сети (b) и USB-накопители (b) . При заражении устройства на него скачиваются различные вредоносные программы: кейлогеры (b) , банковские трояны (b) , бэкдоры (b) [5].

Расследование по делу ботнета велось словенской полицией (b) , ФБР (b) и испанскими (b) властями. В создании Butterfly Bot Kit и самого Mariposa подозревался 23-летний словенец (b) Матяз Скорьянц, также известный как Исердо[8].

В феврале 2010 года были задержаны 3 оператора Mariposa: Netkairo (руководитель DPP Team), а также Хуан Хосе Беллидо Риос и Джонатан Пасос Ривера с кличками «Ostiator» и «Johnyloleante» соответственно[7][9][10]. Спустя 5 месяцев, в середине июля 2010 года в Мариборе (b) был задержан сам Скорьянц[1].

Он был приговорён к 58 месяцам тюрьмы и должен был выплатить 3000 или 4000 евро (b) [4][11]. Также в распространении ботнета обвинялись Ментор Леники и Томас Маккормик[12].

• Dexter (компьютерный вирус) (b)
• ZeuS (b)

В словении задержали создателя печально известного ботнета mariposa, заразившего компьютеры более половины компаний из списка fortune 1000

В словенском городе Марибор в результате спецоперации с участием местной полиции, ФБР США и испанских правоохранителей арестован 23-летний молодой человек, имеющий, как полагают, непосредственное отношение к созданию ботнета Mariposa.

Имя главаря не раскрывается, он фигурирует в деле под псевдонимом Исердо (Iserdo). Не уточняются и предъявленные ему обвинения. ФБР рассказала журналистам только то, что арест был произведен десять дней назад, а сейчас задержанного выпустили под залог и он разгуливает на свободе, сообщает Компьюлента со ссылкой на агентство Associated Press.

«Чтобы вам было понятно, мы поймали не того, кто вломился в ваш дом, а гада, который дал ему фомку, карту и рассказал о самых богатых домах в округе, — пояснил журналистам Джеффри Трой, заместитель помощника директора киберподразделения ФБР. — Это крупный прорыв в истории расследований киберпреступлений».

Вирус проникал в компьютер пользователя через уязвимость в браузере Internet Explorer производства Microsoft, а также заражал переносные USB-устройства.

Он похищал с компьютеров пароли и все секретные данные, в том числе номера банковских счетов и кредиток, и пересылал в единую базу данных.

Далее мошенники уже решали, как наиболее выгодным путем конвертировать украденную информацию в деньги.

Ранее, в первых числах марта испанская полиция сумела арестовать несколько других хакеров, причастных к разработке ираспространению Mariposa. Там утверждают, что для поимки этих людей была организована самая масштабная операция подобного рода в мировой истории.

Джеффри Трой полагает, что следует ожидать новой волны арестов, которая, скорее всего, выйдет за пределы Испании и Словении, так как код, написанный Исердо, пользовался большим спросом. Базовый пакет стоил 500 долларов, а цена более продвинутых версий доходила до 1 300 долларов.

Идейные вдохновители ботнетов — это обычно чрезвычайно опытные хакеры, которые скрываются так, что найти их практически невозможно. Так, по сей день не обнаружен главный распространитель червя Conficker, инфицировавшего от 3 до 12 млн компьютеров.

Червь Mariposa (исп. «бабочка») появился в декабре 2008 года. Он успел заразить компьютеры более половины компаний, входящих в список Fortune 1000, и не менее сорока крупных банков.

Как и большинство других, созданный червем ботнет занимался кражей денег со счетов и персональных данных.

Его удалось локализовать весной 2009 года, а в начале 2010-го испанская полиция арестовала трех участников преступной сети.

Ботнетом, напомним, называют сеть, состоящую из хостов с запущенными ботами (сокращение от слова «робот») — автономным программным обеспечением. Чаще всего бот в составе ботнета является программой, скрытно устанавливаемой на компьютере жертвы и позволяющей злоумышленнику выполнять некие действия с использованием ресурсов зараженного компьютера.

Обычно боты используются для нелегальной или нежелательной деятельности: рассылки спама, перебора паролей на удаленной системе, атак на отказ в обслуживании (DDoS) и т.п..