Tutoriales y Manuales
Entradas Mensuales
-
►
2024
(Total:
1024
)
- ► septiembre (Total: 50 )
-
►
2023
(Total:
710
)
- ► septiembre (Total: 65 )
-
►
2022
(Total:
967
)
- ► septiembre (Total: 72 )
-
►
2021
(Total:
730
)
- ► septiembre (Total: 56 )
-
►
2020
(Total:
212
)
- ► septiembre (Total: 21 )
-
►
2019
(Total:
102
)
- ► septiembre (Total: 14 )
-
►
2017
(Total:
231
)
- ► septiembre (Total: 16 )
-
►
2016
(Total:
266
)
- ► septiembre (Total: 38 )
-
▼
2015
(Total:
445
)
- ► septiembre (Total: 47 )
-
▼
junio
(Total:
73
)
- ¿Java dejará de funcionar en Google Chrome?
- La IEEE y la IET realizan con éxito Tests de Priva...
- El ministro de justicia japonés apaga su ordenador...
- Apple bloquea las versiones de Adobe Flash antigua...
- Microsoft añade silenciosamente 17 nuevos certific...
- El FBI advirtió a las compañías de USA para evitar...
- Secure Sockets Layer versión 3.0 (SSLv3) no es lo ...
- El proyecto de cifrado gratuito Let's Encrypt entr...
- Gmail ya permite deshacer el envío de un e-mail
- Java deja atrás la barra de Ask al ser considerada...
- Experimento Robin: Envía a 97.931 personas sus con...
- TrendMicro: un simple keylogger puede costar millo...
- La Europol detiene a una banda acusada de propagar...
- Disponible distribución PFSense 2.2.3 especializad...
- La NSA establece su presencia en GitHub para compa...
- La botnet Andromeda infecta con malware financiero...
- Msfvenom Payload Creator (MPC) para Metasploit
- HackerOne recibe una inversión de 25 millones de d...
- Facebook elimina el malware de 2 millones de orden...
- Investigador de Google encuentra una vulnerabilida...
- HardenFlash, Adobe Flash Player a prueba de exploi...
- Segunda actualización de seguridad en un mes para ...
- Las compañias de Antivirus también son objetivo de...
- Tutorial de CMake
- España, el segundo país Europeo con más infectados...
- DD4BC extorsiona pidiendo dinero en Bitcoins a cam...
- La Casa Blanca quiere que todos los organismos ofi...
- Bug en favicon.ico permite colgar Firefox, Chrome ...
- Múltiples vulnerabilidades incluyendo una crítica ...
- Tipos de Ataques DDoS con la botnet AthenaHTTP
- El buscador Shodan también disponible para Android
- Skype basado en Web (Beta) disponible en todo el m...
- Los creadores del malware Duqu 2.0 usaron certific...
- Lanzar un ataque DDoS sale barato: sólo 38 dólares...
- Google anuncia su programa de recompensas por enco...
- El ordenador de Angela Merkel infectado con un tro...
- La página web de peticiones de Uber atacada
- La noche temática de La 2 - Términos y condiciones...
- Canal + ha sido hackeado, y los datos comprometido...
- El ransomware Tox estaba dirigido a los pedófilos
- La Wikipedia usará HTTPS por defecto
- Un año de prisión por realizar ataques DDoS con la...
- Facebook Infer, herramienta de código libre para d...
- Un joven americano de 17 años se declara culpable ...
- Malware Poweliks se esconde en el registro de Wind...
- Detenidas 10 personas en España por fraude cibérne...
- Mozilla Firefox incrementa las recompensas por rep...
- Bélgica detiene a terroristas espiando sus mensaje...
- Duqu 2.0: la herramienta más sofisticada del ciber...
- Adobe Flash Player 18.x soluciona 13 vulnerabilida...
- Tesla Motors ofrece 1.000$ a quién sea capaz de ha...
- Medusa: herramienta para realizar ataques por fuer...
- microSD de 512GB presentado en el Computex 2015
- Página web del Ejército de EE.UU. hackeada por el ...
- REMnux: Distribución de Linux especializada en en ...
- IX Congreso OWASP sobre ciberseguridad en Barcelona
- La Policía detiene a uno de los uploaders más acti...
- Drupal también pagará recompensas a los que encuen...
- Dropbox prohibe usar 85.000 palabras como contrase...
- El creador del ransmoware Tox decide vender su neg...
- Hector Xavier Monsegur aka Sabu vuelve a Twitter t...
- Open Sesame, un nuevo gadget para abrir puertas de...
- El creador del malware RomberTik es un nigeriano d...
- Pentest Box: pentesting en línea de comandos para ...
- Intel presenta en Computex el Thunderbolt 3 con co...
- Servicios automatizados de análisis de Malware online
- El servicio de Pensiones de Japón ha sido hackeado
- Un simple mensaje de texto puede colgar Skype
- Sourceforge secuestra la cuenta de Nmap
- ASUS resucita los netbooks con un nuevo modelo
- El fundador de Silk Road sentenciado a cadena perp...
- Vuelve el Virus de la Polícia para Android
- El creador del ransomware Locker publica las llave...
-
►
2014
(Total:
185
)
- ► septiembre (Total: 18 )
-
►
2013
(Total:
100
)
- ► septiembre (Total: 3 )
-
►
2011
(Total:
7
)
- ► septiembre (Total: 1 )
Blogroll
Etiquetas
seguridad
(
395
)
privacidad
(
363
)
google
(
354
)
ransomware
(
338
)
vulnerabilidad
(
301
)
Malware
(
263
)
Windows
(
244
)
android
(
243
)
cve
(
235
)
tutorial
(
235
)
manual
(
220
)
software
(
201
)
hardware
(
193
)
linux
(
124
)
twitter
(
116
)
ddos
(
94
)
WhatsApp
(
90
)
Wifi
(
85
)
cifrado
(
77
)
herramientas
(
75
)
hacking
(
73
)
sysadmin
(
67
)
app
(
65
)
Networking
(
56
)
nvidia
(
52
)
ssd
(
51
)
youtube
(
50
)
adobe
(
43
)
firmware
(
42
)
office
(
41
)
hack
(
40
)
firefox
(
35
)
contraseñas
(
32
)
eventos
(
32
)
antivirus
(
31
)
juegos
(
31
)
cms
(
30
)
flash
(
28
)
anonymous
(
27
)
MAC
(
25
)
apache
(
25
)
programación
(
25
)
exploit
(
23
)
javascript
(
22
)
multimedia
(
22
)
Kernel
(
20
)
ssl
(
19
)
SeguridadWireless
(
17
)
documental
(
16
)
Forense
(
15
)
conferencia
(
15
)
Debugger
(
14
)
lizard squad
(
14
)
técnicas hacking
(
13
)
auditoría
(
12
)
delitos
(
11
)
metasploit
(
11
)
Virtualización
(
10
)
adamo
(
9
)
reversing
(
9
)
Rootkit
(
8
)
Ehn-Dev
(
7
)
MAC Adress
(
6
)
antimalware
(
6
)
oclHashcat
(
5
)
Entradas populares
-
Después de ver qué es una vCPU y la diferencia entre núcleos (cores) e hilos en los procesadores, pasamos a explicar toda la nomenclatura d...
-
Pese a que Gemini ofrece multitudes de opciones, recientemente, se ha dado a conocer una situación fuera de lo común. Hace unos días, un es...
-
Si estos días vas a cualquiera de las plataformas de venta que hay en internet y buscas un USB probablemente te encuentras con no pocos con ...
Un año de prisión por realizar ataques DDoS con la botnet española Mariposa
viernes, 12 de junio de 2015
|
Publicado por
el-brujo
|
Editar entrada
Un año de prisión por realizar ciberataques con una red zombie de ordenadores infectados. Los tres formaban parte del autodenominado grupo "Días de Pesadilla (DDP Team)", que usaban la llamada "botnet Mariposa", La Audiencia condena a los tres hombres a la pena de cárcel por un delito de daños (aunque no ingresarán en prisión debido a que la pena no llega a 2 años y no tienen antecedentes), sí como a una multa de 1.080 euros y a indemnizar a las entidades afectadas sobre la base de las facturas que deberán presentar los interesados.
El creador original del malware "Butterfly bot" Matjaž Škorjanc (alias: Iserdo) fue condenado a 4 años y 10 meses de prisión y una multa de € 3,000 ($ 4,100)
El vecino de la localidad vizcaína de Balmaseda, es el jefe de una banda de delincuentes informáticos , Florencio Carro Ruiz, de 31 años y que se hacía llamar 'Nektario' o 'Hamlet1917' , compartía junto a dos compinches de Santiago de Compostela y Murcia la jefatura de una red de ordenadores zombis o 'botnet'
Florencio
El grupo de delincuentes detrás de Mariposa se hacía llamar DDP Team (Días de Pesadilla Team), información que logramos más tarde cuando debido a un error fatal pudimos descubrir a uno de los cabecillas de la banda.
El creador original del malware "Butterfly bot" Matjaž Škorjanc (alias: Iserdo) fue condenado a 4 años y 10 meses de prisión y una multa de € 3,000 ($ 4,100)
El vecino de la localidad vizcaína de Balmaseda, es el jefe de una banda de delincuentes informáticos , Florencio Carro Ruiz, de 31 años y que se hacía llamar 'Nektario' o 'Hamlet1917' , compartía junto a dos compinches de Santiago de Compostela y Murcia la jefatura de una red de ordenadores zombis o 'botnet'
Florencio
Los otros dos españoles involucrados: 'OsTiaToR' (Juan Jose Bellido Rios, de 25 años), de
Santiago de Compostela, y 'Johnyloleante' (Jonathan Pazos Rivera, de 30 años) residente
en Molina de Segura (Murcia).
Los acusados han reconocido la autoría de los hechos tras ser juzgados por la Sección Cuarta de la Sala de lo Penal y han aceptado la pena de un año de cárcel y sendas multas de 1.080 euros por un delito continuado de daños.
Los acusados han reconocido la autoría de los hechos tras ser juzgados por la Sección Cuarta de la Sala de lo Penal y han aceptado la pena de un año de cárcel y sendas multas de 1.080 euros por un delito continuado de daños.
- La Audiencia Nacional condena a un año de cárcel a tres hombres por infectar 23.662 ordenadores y realizar "ciberataques" a webs de España y Canadá.
- Crearon la 'red zombi' con un virus desarrollado en Eslovenia por Matjaz Skorjanc alias Iserdo
- En 2009, Panda Antivirus supo de la existencia de esta red de ordenadores zombis e identificó a sus responsables; los tres han aceptado la pena impuesta.
- La botnet infectaba vía MSN, P2P y USB
EFE. 12.06.2015 - 17:48h
La Audiencia Nacional ha condenado a un año de cárcel a tres hombres por infectar 23.662 ordenadores para crear una red zombi con la que realizaron "ciberataques" a páginas web españolas y de un centenar de empresas, universidades y organismos públicos de Canadá.
Esta pena por un delito de daños fue aceptada por los acusados, Florencio Carro,, Juan José Bellido y Jonathan Pazos, a los que finalmente la Fiscalía retiró la acusación por integración en organización criminal.
Según la sentencia de la sección cuarta de la Sala de lo Penal, los tres formaban parte del autodenominado grupo "Días de Pesadilla (DDP Team)", que usaban la llamada "botnet Mariposa", una red de ordenadores infectados creada gracias a un virus desarrollado en Eslovenia.
Así, uno de los acusados compró y actualizó el virus Mariposa, otro era uno de los administradores de la red y fue el encargado de usarla y el tercero pagó 200 euros en 2008 por la compra del virus. Una vez que dispusieron del virus, explica la sentencia, empezaron a infectar masivamente ordenadores y lo hicieron con al menos 23.662, una cifra que podría ascender a 10 millones de aparatos, que se integraron así en la red como ordenadores robots o zombis.
La Universidad de Ottawa
Estos ordenadores zombis, sin que el propietario lo sepa, acceden a una dirección URL de internet y desde allí hacen lo que los "hackers" les ordenan: "ciberataques", distribución de material pornográfico o fraudes.
En este caso, se realizaron ataques, al menos, a cinco páginas web en España
- telegrow[].com
- irinavega[].com
- xnet[].es
- xcanal[].es
- grupoifg[].com
así como a la Universidad de Ottawa, ministerios y organismos del gobierno federal de Canadá y unas cien empresas del país norteamericano.
En una de las web de empresas canadienses, concretamente la de Defense Intelligence, consiguieron destruir toda su red, y también acabaron con la de la junta directiva de la Escuela Estatal de Ottawa, detalla la sentencia.
En 2009, Panda Antivirus supo de la existencia de esta red de ordenadores zombis e identificó a sus responsables, tras lo que, en diciembre de ese año, se puso en marcha una acción coordinada internacional para bloquearla.
La Audiencia condena a los tres hombres a la pena de cárcel por un delito de daños (aunque no ingresarán en prisión debido a que la pena no llega a 2 años y no tienen antecedentes), sí como a una multa de 1.080 euros y a indemnizar a las entidades afectadas sobre la base de las facturas que deberán presentar los interesados.
Fuente:
Botnet Mariposa
El grupo de delincuentes detrás de Mariposa se hacía llamar DDP Team (Días de Pesadilla Team), información que logramos más tarde cuando debido a un error fatal pudimos descubrir a uno de los cabecillas de la banda.
Localizar a los criminales se volvió realmente complicado, ya que
siempre se conectaban a los servidores de control de Mariposa a través
de servicios anónimos de VPN (Virtual Private Network, Red Privada
Virtual), lo que imposibilitaba localizar la dirección IP real que
tenían, la mejor pista que nos podría llevar hasta ellos.
El día 23 de Diciembre de 2009, en una operación coordinada a nivel mundial, el Mariposa Working Group consiguió cortar el control de Mariposa al grupo de delincuentes. El líder de la banda, alias Netkairo, se puso nervioso e intentó entonces a toda costa recuperar el control de la red de bots.
Como he comentado anteriormente, para conectarse a los servidores de control de Mariposa usaba servicios anónimos de VPN que impedían localizar su ubicación real, pero en una de las ocasiones en las que trataba de recuperar el control de la red de bots cometió un error fatal: se conectó directamente desde el ordenador de su casa y olvidó utilizar la VPN.
Netkairo finalmente consiguió recuperar el control de Mariposa, y a continuación lanzó un ataque de denegación de servicio contra Defence Intelligence utilizando todos los bots que tenía a su disposición. Este ataque afectó seriamente a un gran Proveedor de Acceso a Internet (ISP) y dejó sin conectividad durante varias horas a multitud de clientes, entre los que se encontraban centros universitarios y administrativos de Canadá.
Finalmente el Mariposa Working Group consiguió que el DDP Team perdiera de nuevo el acceso a Mariposa. Cambiamos la configuración DNS de los servidores a los que se conectaban los bots, de tal forma que pudimos en ese momento ver la cantidad de bots que estaban reportando. El resultado nos dejó helados, cuando vimos que más de 12 millones de direcciónes IP se estaban conectando y enviando información a los servidores de control, convirtiendo a Mariposa en una de las redes de bots más grandes de la historia.
El 3 de Febrero de 2010, la Guardia Civil procedió a la detención de Netkairo. Se trataba de F.C.R., español, de 31 años de edad. Tras su detención, las fuerzas de seguridad incautaron material informático, cuyo análisis forense llevó a la policía a localizar a otros 2 componentes de la banda, también españoles: J.P.R., de 30 años, alias “jonyloleante”, y J.B.R., de 25 años, alias “ostiator”. Ambos fueron arrestados el 24 de Febrero de 2010.
El día 23 de Diciembre de 2009, en una operación coordinada a nivel mundial, el Mariposa Working Group consiguió cortar el control de Mariposa al grupo de delincuentes. El líder de la banda, alias Netkairo, se puso nervioso e intentó entonces a toda costa recuperar el control de la red de bots.
Como he comentado anteriormente, para conectarse a los servidores de control de Mariposa usaba servicios anónimos de VPN que impedían localizar su ubicación real, pero en una de las ocasiones en las que trataba de recuperar el control de la red de bots cometió un error fatal: se conectó directamente desde el ordenador de su casa y olvidó utilizar la VPN.
Netkairo finalmente consiguió recuperar el control de Mariposa, y a continuación lanzó un ataque de denegación de servicio contra Defence Intelligence utilizando todos los bots que tenía a su disposición. Este ataque afectó seriamente a un gran Proveedor de Acceso a Internet (ISP) y dejó sin conectividad durante varias horas a multitud de clientes, entre los que se encontraban centros universitarios y administrativos de Canadá.
Finalmente el Mariposa Working Group consiguió que el DDP Team perdiera de nuevo el acceso a Mariposa. Cambiamos la configuración DNS de los servidores a los que se conectaban los bots, de tal forma que pudimos en ese momento ver la cantidad de bots que estaban reportando. El resultado nos dejó helados, cuando vimos que más de 12 millones de direcciónes IP se estaban conectando y enviando información a los servidores de control, convirtiendo a Mariposa en una de las redes de bots más grandes de la historia.
El 3 de Febrero de 2010, la Guardia Civil procedió a la detención de Netkairo. Se trataba de F.C.R., español, de 31 años de edad. Tras su detención, las fuerzas de seguridad incautaron material informático, cuyo análisis forense llevó a la policía a localizar a otros 2 componentes de la banda, también españoles: J.P.R., de 30 años, alias “jonyloleante”, y J.B.R., de 25 años, alias “ostiator”. Ambos fueron arrestados el 24 de Febrero de 2010.
Fuente:
http://www.pandasecurity.com/spain/mediacenter/malware/red-de-bots-mariposa/
En un principio Corrons pensó que era una broma de mal gusto, pero se dio cuenta de que los nombres y las direcciones de las dos personas en las oficinas de PandaLabs pidiendo empleo coincidían con la información facilitada por la policía durante la investigación.
PandaLabs dice que el nombre de “Ostiator” es Juan José, de 25 años de edad, natural de Santiago de Compostela, y el nombre de “Netkairo” es Florencio, un individuo de 31 años natural de Balmaseda.
Corrons les preguntó cómo comenzaron el botnet Mariposa, y señaló que todo comenzó como un hobby que de pronto comenzó a generar ingresos, unos cientos de euros a la semana en sus comienzos.
Corrons les prometió hablar con la administración de Panda, aunque es improbable dado los antecedentes que la propuesta resultara en algo positivo. Corrons después recibió notificación de dos nuevos seguidores en Twitter,un usuario llamado FLOXTER_SEC y juanjillo25; el nombre en la cuenta FLOXTER_SEC: Florencio Carro, que corresponde con las iniciales facilitadas por la policía (FCR).
El pasado 12 de Abril, Netkairo llamó a Corrons en el trabajo, indicando que Juanjo (Ostiator) insistió a que hablara con él. Corrons se reunió de nuevo con él en las oficinas de Panda, y volvió a reiterar de que Panda no podía ofrecer empleo a alguien que administró un Botnet.
Cuando quedó claro que Panda no le iba a contratar, el tono de la conversación cambió; Netkairo indicó que había descubierto vulnerabilidades en el antivirus en nube de Panda, sugiriendo la publicación de dicha información en un blog. A finales de la misma semana, un usuario en Google Blogspot abrió una página con el nombre NetK, y publicó un vídeo con el título “Panda Cloud Antivirus detection bypass POC video”.
La página Krebsonsecurity se puso en contacto con NetKairo después; Netkairo admitió de que había visitado las oficinas de Panda para pedir trabajo ahora que el botnet Mariposa ha desaparecido. Según Netkairo, el botnet de Mariposa nunca alcanzó los 12 millones de PCs infectados, y que en su auge alcanzó entre 500.000 y 900.000 PCs.
Fuente:
http://krebsonsecurity.com/2010/05/accused-mariposa-botnet-operators-sought-jobs-at-spanish-security-firm/
http://krebsonsecurity.com/2010/03/mariposa-botnet-authors-may-avoid-jail-time/
Luis Corrons, Director Técnico de PandaLabs, explicaba en 2010 en:
http://www.securitybydefault.com/2010/03/entrevista-luis-corrons-el-hombre-que.html
Los detenidos llegaron a pedir trabajo en PandaLabs
Los administradores de la botnet Mariposa, conocidos por sus apodos “Netkairo” y “Ostiator” visitaron las oficinas de PandaLabs, poniéndose en contacto con Luis Corrons, director de PandaLabs, para pedirles un empleo.En un principio Corrons pensó que era una broma de mal gusto, pero se dio cuenta de que los nombres y las direcciones de las dos personas en las oficinas de PandaLabs pidiendo empleo coincidían con la información facilitada por la policía durante la investigación.
PandaLabs dice que el nombre de “Ostiator” es Juan José, de 25 años de edad, natural de Santiago de Compostela, y el nombre de “Netkairo” es Florencio, un individuo de 31 años natural de Balmaseda.
Corrons les preguntó cómo comenzaron el botnet Mariposa, y señaló que todo comenzó como un hobby que de pronto comenzó a generar ingresos, unos cientos de euros a la semana en sus comienzos.
Corrons les prometió hablar con la administración de Panda, aunque es improbable dado los antecedentes que la propuesta resultara en algo positivo. Corrons después recibió notificación de dos nuevos seguidores en Twitter,un usuario llamado FLOXTER_SEC y juanjillo25; el nombre en la cuenta FLOXTER_SEC: Florencio Carro, que corresponde con las iniciales facilitadas por la policía (FCR).
El pasado 12 de Abril, Netkairo llamó a Corrons en el trabajo, indicando que Juanjo (Ostiator) insistió a que hablara con él. Corrons se reunió de nuevo con él en las oficinas de Panda, y volvió a reiterar de que Panda no podía ofrecer empleo a alguien que administró un Botnet.
Cuando quedó claro que Panda no le iba a contratar, el tono de la conversación cambió; Netkairo indicó que había descubierto vulnerabilidades en el antivirus en nube de Panda, sugiriendo la publicación de dicha información en un blog. A finales de la misma semana, un usuario en Google Blogspot abrió una página con el nombre NetK, y publicó un vídeo con el título “Panda Cloud Antivirus detection bypass POC video”.
La página Krebsonsecurity se puso en contacto con NetKairo después; Netkairo admitió de que había visitado las oficinas de Panda para pedir trabajo ahora que el botnet Mariposa ha desaparecido. Según Netkairo, el botnet de Mariposa nunca alcanzó los 12 millones de PCs infectados, y que en su auge alcanzó entre 500.000 y 900.000 PCs.
Fuente:
http://krebsonsecurity.com/2010/05/accused-mariposa-botnet-operators-sought-jobs-at-spanish-security-firm/
http://krebsonsecurity.com/2010/03/mariposa-botnet-authors-may-avoid-jail-time/
Luis Corrons, Director Técnico de PandaLabs, explicaba en 2010 en:
http://www.securitybydefault.com/2010/03/entrevista-luis-corrons-el-hombre-que.html
El bot utilizado lo adquirieron en el mercado negro. Al contrario de lo que la gente pueda pensar, este tipo de herramientas no son muy caras, y con unos cientos de euros te puedes agenciar una que te haga el trabajo. Teniendo acceso al kit de construcción de este troyano, puedes además elegir el sabor que más te guste entre un amplio abanico de opciones:
- Seleccionar si las réplicas de sí mismo que realiza son polimórficas o no.
- Puertos de conexión al servidor.
- Retardo hasta la inyección en el proceso EXPLORER.EXE para dificultar el análisis del malware.
- Número de envíos por MSN Messenger.
- Nombre del archivo con el que se copia en las unidades extraíbles.
Además se puede adquirir con diferentes módulos extras (a cambio de un poco más de dinero). Por ejemplo, uno de estos módulos permite robar toda la información de formularios que el usuario introduce en Internet Explorer (6, 7 y 8). Otro módulo estaba dedicado al resto de navegadores más populares (Firefox, Chrome, Opera). Y una vez tienes montada la red de bots, sólo tienes que empezar a dar órdenes, algo muy sencillo a través del interfaz que incluye:
- Configuración del autoarranque de dichas unidades extraíbles.
Enviar por correo electrónico
Escribe un blog
Compartir en X
Compartir con Facebook
Compartir en Pinterest
Etiquetas:
ataques ddos
,
audiencia
,
botnet
,
delincuentes
,
delitos
,
denegación de servicio
,
fiscal
,
florencio
,
iserdo
,
juicio
,
mariposa
,
panda
,
prisión
,
zombies
0 comentarios :
Publicar un comentario
Los comentarios pueden ser revisados en cualquier momento por los moderadores.
Serán publicados aquellos que cumplan las siguientes condiciones:
- Comentario acorde al contenido del post.
- Prohibido mensajes de tipo SPAM.
- Evite incluir links innecesarios en su comentario.
- Contenidos ofensivos, amenazas e insultos no serán permitidos.
Debe saber que los comentarios de los lectores no reflejan necesariamente la opinión del STAFF.