Компании Panda Security и Defence Intelligence, производители решений IT- безопасности, сообщают, что бот-сеть Mariposa была ликвидирована. Испанские правоохранительные органы задержали троих подозреваемых, которые предположительно управляли данной сетью.
С помощью Mariposa мошенники осуществляли кражу регистрационных данных пользователей социальных сетей, онлайновых почтовых сервисов, а также банковские реквизиты и реквизиты кредитных карт. Преступникам удалось украсть 12,7 миллионов персональных, корпоративных, правительственных и образовательных IP-адресов более чем в 190 странах мира. От этой бот-сети пострадали до 50% компаний, входящих в список Fortune 1000 (это список тысячи самых крупных компаний США по версии журнала Fortune). По предварительным оценкам нанесенный ущерб исчисляется миллионами долларов.
Бот-сеть Mariposa была ликвидирована 23 декабря 2009 года благодаря совместным усилиям различных экспертов в области безопасности и права из Panda Security, Defence Intelligence, ФБР и испанских правоохранительных органов (Guardia Civil).
Сеть Mariposa стала одной из самых крупных зарегистрированных бот-сетей. Первым её обнаружил Кристофер Дэвис, исполнительный директор Defence Intelligence. Сразу после обнаружения Mariposa в мае 2009 года создали рабочую группу Mariposa. Ее возглавили Panda Security, Defence Intelligence и Georgia Tech Information Security Center. Эти компании начали сотрудничать с другими международными экспертами в области безопасности и права, чтобы уничтожить бот-сеть и наказать её организаторов. В итоге главный бот-мастер по прозвищу Netkairo или hamlet1917, а также его ближайшие партнеры-операторы бот-сети Ostiator и Johnyloleante были арестованы.
Предварительный анализ деятельности бот-сети Mariposa, проведенный Panda Security, показал:
1) Бот-мастер Mariposa устанавливал на ПК пользователей различные вредоносные коды (продвинутые кейлоггеры, банковские трояны наподобие Zeus, трояны удаленного доступа и др.). Благодаря этому мошенник мог контролировать компьютеры-зомби.
2) Чтобы зарабатывать деньги бот-мастер продавал части бот-сети, устанавливая панели типа pay-per-install (заплати-за-установку). Также преступник продавал украденные конфиденциальные данные для доступа к онлайновым сервисам, а с помощью чужих банковских данных и реквизитов банковских карт оплачивал покупки на различных сайтах.
3) Бот-сеть Mariposa особенно эффективно распространялась в сетях P2P, через USB-приводы и ссылки MSN.
Рабочая группа Mariposa официально получила контроль над коммуникационными каналами, которыми пользовалась сеть Mariposa, за счет чего отрезала бот-сеть от её создателей-преступников. Вскоре после отключения бот-сети в декабре в отместку началась DDoS-атака против Defence Intelligence. Она была настолько мощной, что оказала чрезвычайно негативное воздействие на работу крупного провайдера интернет-сервисов. Многие клиенты на несколько часов лишились доступа в Интернет.