8304 Letture

Sradicata la botnet Mariposa: arrestati i responsabili

Arriva oggi la notizia della chiusura della "botnet" Mariposa, una rete di "pc zombie" utilizzata per compiere attività criminose. Secondo quanto riferito dai principali vendor di prodotti antivirus ed antimalware, parte della botnet Mariposa erano oltre 13 milioni di sistemi in ben 190 Paesi. I sistemi, una volta infettati, venivano comandati da remoto per compiere le operazioni più disparate a danno di terzi. La polizia spagnola ha arrestato tre uomini con l'accusa di essere i creatori di una delle più grandi botnet al mondo finalizzata alla sottrazioni di informazioni riservate, credenziali bancarie, password e numeri di carte di credito.
Stando ai primi resoconti, Mariposa avrebbe colpito numerosi sistemi di grandi aziende (oltre la metà delle 1.000) ed almeno quaranta importanti istituti di credito.

Rik Ferguson (Trend Micro) ha sottolineato quanto sia significativo il successo registrato nell'operazione che ha portato a sgominare gli autori di Mariposa: "si tratta di una botnent sicuramente di grandi dimensioni", ha commentato l'esperto, "soprattutto se consideriamo che le botnet sono solitamente controllate e sfruttate da più gruppi criminali".


Secondo Trend Micro, così come i principali player attivi nel campo della sicurezza informatica, sarebbe proprio la superficialità con cui l'argomento "botnet" viene visto dagli utenti comuni a contribuire, purtroppo, al successo del fenomeno. In molti sottovalutano il pericolo: ciò appare evidente esaminando qualche dato statistico. Secondo le recenti indagini svolte dai laboratori di Trend Micro, oltre il 75% di tutti i computer infettati da un bot sono in uso presso abitazioni. In tutto il mondo se ne contano decine di milioni. Una volta che il computer viene infettato (gli aggressori usano i vettori di attacco più disparati) esso entra a far parte di una rete mondiale sotto il pieno controllo di uno o più gruppi di criminali informatici.

Chi mette a punto le botnet sa bene come monetizzare "l'investimento". I bot sono progettati, in primis, per rubare i dati di accesso ai servizi di online banking, le credenziali per l'utilizzo di strumenti come PayPal ed eBay, per l'accesso alla webmail o a qualunque altro servizio. Questi tipi di malware possono essere in grado di modificare quanto visualizzato dall'utente durante la navigazione in Rete con lo scopo di sottrarre un più ampio numero di dati personali.
Le reti botnet possono poi essere sfruttate come piattaforme di distribuzione di componenti maligni. Coloro che distribuiscono prodotti antivirus fasulli ("rogue antivirus") o software truffaldini in genere ("rogue software") spesso pagano i gestori di una o più botnet per provocare l'installazione dei malware sui sistemi controllati. Gli "spammer" ricorrono sovente alle botnet per diffondere rapidamente messaggi di posta indesiderati.


Il malware usato per infettare i sistemi e farli diventare parte di una botnet sono spesso realizzato in modo da eludere il controllo dei software antivirus tradizionali. Trend Micro, analizzando circa 100 milioni di macchine compromesse, ha stabilito come molte di esse restino infette, addirittura, per periodi che raggiungono i due anni.

  1. Avatar
    Chulo
    04/03/2010 21:10:44
    Ah ma allora ogni tanto qualcuno lo trovano! Piacere di sapere che questa farfalla (mariposa) non aprirà più le ali :) .
  2. Avatar
    Michele Nasi
    04/03/2010 13:47:12
    La "notizia" qui pubblicata non ha assolutamente velleità di completezza. Abbiamo più volte dedicato diversi articoli di approfondimento alla tematica. Eccone un paio: http://www.ilsoftware.it/articoli.asp?id=5067 http://www.ilsoftware.it/articoli.asp?id=4726 La conoscenza dei principali vettori di attacco e l'applicazione delle misure di base per la protezione del sistema (prima tra tutte l'installazione delle patch via a via rilasciate e destinate alla risoluzione di vulnerabilità presenti nel sistema operativo ed in tutte le principali applicazioni, in particolar modo quelle usate per "comunicare" in Rete) consente di difendersi dalla stragrande maggioranza delle minacce. E' ovvio che un malware che utilizza tecniche rootkit ha vita facile su sistemi non aggiornati, sui quali non è installato un antivirus o che impiegano prodotti ormai superati basati sull'uso delle classiche firme virali. Se poi abbiniamo l'uso "selvaggio" di software peer-to-peer eseguendo il primo exe a portata di mouse, il dar credito a "rogue software" così come altre pratiche molto rischiose, i malware hanno sicuramente buon gioco.
  3. Avatar
    brunoliegibastonliegi
    04/03/2010 12:53:30
    Nell'articolo si afferma che tali malware sono progettati per essere nascosti agli antivirus, e poi quasi con stupore si afferma che ci sono macchine infette da più di 2 anni.... e ci mancherebbe!! Se io faccio la scansione con l'av e mi dice tutto ok cosa devo pensare?????????? O credo che sto spendendo bene i miei soldi e dunque il pc è pulito oppure devo pensare che pago per un servizio che mi lascia il pc infetto per 2 anni... allora diciamo che gli utenti microsoft devono per sicurezza formattare il pc una volta all'anno per scungiurare il pericolo botnet?? Io invece uso linux.
  4. Avatar
    Eraser2010
    04/03/2010 12:29:12
    Ci sono diversi modi per poter analizzare passivamente quanti PC risultano connessi alla botnet, senza entrare in alcuno di questi PC. Un modo è riuscire ad avere accesso al server remoto che gestisce i PC infetti. Da qui potrebbe essere possibile verificare il numero di PC connessi alla botnet. Un altro sono per esempio alcune statistiche create in collaborazione tra ISP e società di sicurezza. Si può verificare il numero di connessioni ad uno specifico indirizzo IP, sempre in maniera anonima e a puro scopo statistico. Senza scomodare gli ISP, ci sono network di sensori in tutto il mondo, in collaborazione con varie aziende che decidono di prestare i propri "dati statistici" in maniera anonima alle società di sicurezza per poter verificare eventuali connessioni ad indirizzi IP nocivi. E molto altro. Perché non entrare in ognuno di questi PC e disinfettarli? Semplicemente perché non è possibile, né tecnicamente, né legamente. Tecnicamente è impossibile per svariati fattori, ma prima di tutto è impossibile legalmente. Chi dà l'autorizzazione di accedere al mio PC ad una persona esterna, sia essa affidabile e conosciuta o sconosciuta? Una società di sicurezza non ha l'autorizzazione per poter accedere ad un PC di una terza persona senza previo consenso. In Italia ad esempio si prefigurerebbe il reato di accesso abusivo ad un sistema informatico, punito dall'art 615-ter del codice penale. Avvisare gli utenti come? Nuovamente l'unico modo sarebbe avere accesso al sistema infettato, ma si creerebbe lo stesso problema evidenziato prima.
  5. Avatar
    Giovanni B.
    04/03/2010 11:12:16
    E come fa la "Trend Micro" ad analizzare le macchine che risultano infette, se non entrando nel sistema che le controlla? E se può farlo, perchè non le disinfetta? E, ancora, perchè non avvisa gli utenti, suggerendo sistemi validi e gratuiti di pulizia? Grazie. Giovanni :oops:
Sradicata la botnet Mariposa: arrestati i responsabili - IlSoftware.it