Tienda Wifi

Tienda Wifi
CiudadWireless es la tienda Wifi recomendada por elhacker.NET

Buscador

Entradas Mensuales

Suscripción

¿Quieres recibir las últimas novedades del blog en tu correo?

¡Suscríbete al feed!

Foro de elhacker.net - Noticias

elhacker.NET en Facebook

Entradas populares

PostHeaderIcon Un año de prisión por realizar ataques DDoS con la botnet española Mariposa




Un año de prisión por realizar ciberataques con una red zombie de ordenadores infectados. Los tres formaban parte del autodenominado grupo "Días de Pesadilla (DDP Team)", que usaban la llamada "botnet Mariposa", La Audiencia condena a los tres hombres a la pena de cárcel por un delito de daños (aunque no ingresarán en prisión debido a que la pena no llega a 2 años y no tienen antecedentes), sí como a una multa de 1.080 euros y a indemnizar a las entidades afectadas sobre la base de las facturas que deberán presentar los interesados.





El creador original del malware "Butterfly bot" Matjaž Škorjanc (alias: Iserdo) fue condenado a 4 años y 10 meses de prisión y una multa de € 3,000 ($ 4,100)








El vecino de la localidad vizcaína de Balmaseda, es el jefe de una banda de delincuentes informáticos , Florencio Carro Ruiz, de 31 años y que se hacía llamar 'Nektario' o 'Hamlet1917' , compartía junto a dos compinches de Santiago de Compostela y Murcia la jefatura de una red de ordenadores zombis o 'botnet'

Florencio



Los otros dos españoles involucrados: 'OsTiaToR' (Juan Jose Bellido Rios, de 25 años), de Santiago de Compostela, y 'Johnyloleante' (Jonathan Pazos Rivera, de 30 años) residente en Molina de Segura (Murcia).

Los acusados han reconocido la autoría de los hechos tras ser juzgados por la Sección Cuarta de la Sala de lo Penal y han aceptado la pena de un año de cárcel y sendas multas de 1.080 euros por un delito continuado de daños.
  • La Audiencia Nacional condena a un año de cárcel a tres hombres por infectar 23.662 ordenadores y realizar "ciberataques" a webs de España y Canadá. 
  • Crearon la 'red zombi' con un virus desarrollado en Eslovenia por Matjaz Skorjanc alias Iserdo
  • En 2009, Panda Antivirus supo de la existencia de esta red de ordenadores zombis e identificó a sus responsables; los tres han aceptado la pena impuesta.
  • La botnet infectaba vía MSN, P2P y USB

EFE. 12.06.2015 - 17:48h

 La Audiencia Nacional ha condenado a un año de cárcel a tres hombres por infectar 23.662 ordenadores para crear una red zombi con la que realizaron "ciberataques" a páginas web españolas y de un centenar de empresas, universidades y organismos públicos de Canadá. 

Esta pena por un delito de daños fue aceptada por los acusados, Florencio Carro,, Juan José Bellido y Jonathan Pazos, a los que finalmente la Fiscalía retiró la acusación por integración en organización criminal

Según la sentencia de la sección cuarta de la Sala de lo Penal, los tres formaban parte del autodenominado grupo "Días de Pesadilla (DDP Team)", que usaban la llamada "botnet Mariposa", una red de ordenadores infectados creada gracias a un virus desarrollado en Eslovenia. 

Así, uno de los acusados compró y actualizó el virus Mariposa, otro era uno de los administradores de la red y fue el encargado de usarla y el tercero pagó 200 euros en 2008 por la compra del virus. Una vez que dispusieron del virus, explica la sentencia, empezaron a infectar masivamente ordenadores y lo hicieron con al menos 23.662, una cifra que podría ascender a 10 millones de aparatos, que se integraron así en la red como ordenadores robots o zombis. 

La Universidad de Ottawa 



Estos ordenadores zombis, sin que el propietario lo sepa, acceden a una dirección URL de internet y desde allí hacen lo que los "hackers" les ordenan: "ciberataques", distribución de material pornográfico o fraudes.

 En este caso, se realizaron ataques, al menos, a cinco páginas web en España

  •  telegrow.com
  • irinavega.com
  •  xnet.es
  • xcanal.es
  • grupoifg.com

así como a la Universidad de Ottawa, ministerios y organismos del gobierno federal de Canadá y unas cien empresas del país norteamericano.

 En una de las web de empresas canadienses, concretamente la de Defense Intelligence, consiguieron destruir toda su red, y también acabaron con la de la junta directiva de la Escuela Estatal de Ottawa, detalla la sentencia. 

En 2009, Panda Antivirus supo de la existencia de esta red de ordenadores zombis e identificó a sus responsables, tras lo que, en diciembre de ese año, se puso en marcha una acción coordinada internacional para bloquearla. 

La Audiencia condena a los tres hombres a la pena de cárcel por un delito de daños (aunque no ingresarán en prisión debido a que la pena no llega a 2 años y no tienen antecedentes), sí como a una multa de 1.080 euros y a indemnizar a las entidades afectadas sobre la base de las facturas que deberán presentar los interesados.

Fuente:


Botnet Mariposa


El grupo de delincuentes detrás de  Mariposa se hacía llamar DDP Team (Días de Pesadilla Team), información que logramos más tarde cuando debido a un error fatal pudimos descubrir a uno de los cabecillas de la banda.


Localizar a los criminales se volvió realmente complicado, ya que siempre se conectaban a los servidores de control de Mariposa a través de servicios anónimos de VPN (Virtual Private Network, Red Privada Virtual), lo que imposibilitaba localizar la dirección IP real que tenían, la mejor pista que nos podría llevar hasta ellos.

El día 23 de Diciembre de 2009, en una operación coordinada a nivel mundial, el Mariposa Working Group consiguió cortar el control de Mariposa al grupo de delincuentes. El líder de la banda, alias Netkairo, se puso nervioso e intentó entonces a toda costa recuperar el control de la red de bots.

Como he comentado anteriormente, para conectarse a los servidores de control de Mariposa usaba servicios anónimos de VPN que impedían localizar su ubicación real, pero en una de las ocasiones en las que trataba de recuperar el control de la red de bots cometió un error fatal: se conectó directamente desde el ordenador de su casa y olvidó utilizar la VPN.

Netkairo finalmente consiguió recuperar el control de Mariposa, y a continuación lanzó un ataque de denegación de servicio contra Defence Intelligence utilizando todos los bots que tenía a su disposición. Este ataque afectó seriamente a un gran Proveedor de Acceso a Internet (ISP) y dejó sin conectividad durante varias horas a multitud de clientes, entre los que se encontraban centros universitarios y administrativos de Canadá.

Finalmente el Mariposa Working Group consiguió que el DDP Team perdiera de nuevo el acceso a Mariposa. Cambiamos la configuración DNS de los servidores a los que se conectaban los bots, de tal forma que pudimos en ese momento ver la cantidad de bots que estaban reportando. El resultado nos dejó helados, cuando vimos que más de 12 millones de direcciónes IP se estaban conectando y enviando información a los servidores de control, convirtiendo a Mariposa en una de las redes de bots más grandes de la historia.

El 3 de Febrero de 2010, la Guardia Civil procedió a la detención de Netkairo. Se trataba de F.C.R., español, de 31 años de edad. Tras su detención, las fuerzas de seguridad incautaron material informático, cuyo análisis forense llevó a la policía a localizar a otros 2 componentes de la banda, también españoles: J.P.R., de 30 años, alias “jonyloleante”, y  J.B.R., de 25 años, alias “ostiator”. Ambos fueron arrestados el 24 de Febrero de 2010.

Fuente:
http://www.pandasecurity.com/spain/mediacenter/malware/red-de-bots-mariposa/


Los detenidos llegaron a pedir trabajo en PandaLabs

Los administradores de la botnet Mariposa, conocidos por sus apodos “Netkairo” y “Ostiator” visitaron las oficinas de PandaLabs, poniéndose en contacto con Luis Corrons, director de PandaLabs, para pedirles un empleo.

 En un principio Corrons pensó que era una broma de mal gusto, pero se dio cuenta de que los nombres y las direcciones de las dos personas en las oficinas de PandaLabs pidiendo empleo coincidían con la información facilitada por la policía durante la investigación.

PandaLabs dice que el nombre de “Ostiator” es Juan José, de 25 años de edad, natural de Santiago de Compostela, y el nombre de “Netkairo” es Florencio, un individuo de 31 años natural de Balmaseda.
Corrons les preguntó cómo comenzaron el botnet Mariposa, y señaló que todo comenzó como un hobby que de pronto comenzó a generar ingresos, unos cientos de euros a la semana en sus comienzos.

Corrons les prometió hablar con la administración de Panda, aunque es improbable dado los antecedentes que la propuesta resultara en algo positivo. Corrons después recibió notificación de dos nuevos seguidores en Twitter,un usuario llamado FLOXTER_SEC y juanjillo25; el nombre en la cuenta FLOXTER_SEC: Florencio Carro, que corresponde con las iniciales facilitadas por la policía (FCR).


El pasado 12 de Abril, Netkairo llamó a Corrons en el trabajo, indicando que Juanjo (Ostiator) insistió a que hablara con él. Corrons se reunió de nuevo con él en las oficinas de Panda, y volvió a reiterar de que Panda no podía ofrecer empleo a alguien que administró un Botnet.

Cuando quedó claro que Panda no le iba a contratar, el tono de la conversación cambió; Netkairo indicó que había descubierto vulnerabilidades en el antivirus en nube de Panda, sugiriendo la publicación de dicha información en un blog. A finales de la misma semana, un usuario en Google Blogspot abrió una página con el nombre NetK, y publicó un vídeo con el título “Panda Cloud Antivirus detection bypass POC video”.






La página Krebsonsecurity se puso en contacto con NetKairo después; Netkairo admitió de que había visitado las oficinas de Panda para pedir trabajo ahora que el botnet Mariposa ha desaparecido. Según Netkairo, el botnet de Mariposa nunca alcanzó los 12 millones de PCs infectados, y que en su auge alcanzó entre 500.000 y 900.000 PCs.

Fuente:
http://krebsonsecurity.com/2010/05/accused-mariposa-botnet-operators-sought-jobs-at-spanish-security-firm/

http://krebsonsecurity.com/2010/03/mariposa-botnet-authors-may-avoid-jail-time/


Luis  Corrons, Director Técnico de PandaLabs, explicaba en 2010 en:

http://www.securitybydefault.com/2010/03/entrevista-luis-corrons-el-hombre-que.html

El bot utilizado lo adquirieron en el mercado negro. Al contrario de lo que la gente pueda pensar, este tipo de herramientas no son muy caras, y con unos cientos de euros te puedes agenciar una que te haga el trabajo. Teniendo acceso al kit de construcción de este troyano, puedes además elegir el sabor que más te guste entre un amplio abanico de opciones:
  • Seleccionar si las réplicas de sí mismo que realiza son polimórficas o no.
  • Puertos de conexión al servidor.
  • Retardo hasta la inyección en el proceso EXPLORER.EXE para dificultar el análisis del malware.
  • Número de envíos por MSN Messenger.
  • Nombre del archivo con el que se copia en las unidades extraíbles.
  • Configuración del autoarranque de dichas unidades extraíbles.
Además se puede adquirir con diferentes módulos extras (a cambio de un poco más de dinero). Por ejemplo, uno de estos módulos permite robar toda la información de formularios que el usuario introduce en Internet Explorer (6, 7 y 8). Otro módulo estaba dedicado al resto de navegadores más populares (Firefox, Chrome, Opera). Y una vez tienes montada la red de bots, sólo tienes que empezar a dar órdenes, algo muy sencillo a través del interfaz que incluye:

0 comentarios :

Publicar un comentario

Los comentarios pueden ser revisados en cualquier momento por los moderadores.

Serán publicados aquellos que cumplan las siguientes condiciones:
- Comentario acorde al contenido del post.
- Prohibido mensajes de tipo SPAM.
- Evite incluir links innecesarios en su comentario.
- Contenidos ofensivos, amenazas e insultos no serán permitidos.

Debe saber que los comentarios de los lectores no reflejan necesariamente la opinión del STAFF.