Botnet secuestrada: Dentro de la operación Torpig
Investigadores de seguridad, de la Universidad de California en Santa Bárbara, irrumpieron en el nervio central de la botnet Torpig (también conocido como Sinowal o Mebroot) para encontrarse el botín (obtenido en) de diez días con 10.000 cuentas de banco y números de tarjeta de crédito con valor de cientos de miles de dólares.
Durante el secuestro de la botnet, los investigadores explotaron una debilidad en la forma que los equipos zombies intentar localizar a sus servidores C&C (N.T.: Command and conquer, servidores de control) y hallaron una operación criminal oculta que recolectó 70GB de información robada en solo diez días.
El Torpig es un interesante caso de estudio por la sofisticada naturaleza de la operación y el informe [.pdf] es de lectura obligada para cualquiera que busque comprender las prácticas de una banda criminal de computación.
La botnet fue contruida utilizando un rootkit MBR (master boot record) que se ejecuta en el momento de inicio, antes que se cargue el sistema operativo. Una vez que se infecta la máquina, el malware recolecta y envia la información cada 20 minutos. La información robada incluye direcciones de correo electrónico, contraseñas de Windows, credenciales FTP y cuentass POP/SMTP.
Y, por supuesto, información financiera:
Resulta de particular interés el caso de una sola víctima a la cual se le extrajeron 30 números de tarjeta de crédito. Al examinarlo manualmente, descubrimos que la víctima era un agente, en su casa, de un centro de llamadas distribuido. Parece que los números de tarjetas era de aquellos clientes de la compañía para la cual trabajaba el agente, y que habían sido ingresados en la base de datos central del centro de llamadas para procesar órdenes (de compra).
El informe supone que la banda criminal tras Torpig obtuvo ganancias de entre u$s83.000 y u$s 8,3 millones durante el periodo de 10 días.
Para conocer más del secuestro de la botnet, vea La página del proyecto Torpig de Santa Barbara. Más en Slashdot y Threatpost.
Traducción exclusiva de Segu-info: Raúl Batista
Autor: Ryan Naraine
Fuente: Blogs ZDNet
Traducción by Raul Batista is licensed under a Creative Commons Atribución-No Comercial-Compartir Obras Derivadas Igual 2.5 Argentina License.
Durante el secuestro de la botnet, los investigadores explotaron una debilidad en la forma que los equipos zombies intentar localizar a sus servidores C&C (N.T.: Command and conquer, servidores de control) y hallaron una operación criminal oculta que recolectó 70GB de información robada en solo diez días.
El Torpig es un interesante caso de estudio por la sofisticada naturaleza de la operación y el informe [.pdf] es de lectura obligada para cualquiera que busque comprender las prácticas de una banda criminal de computación.
La botnet fue contruida utilizando un rootkit MBR (master boot record) que se ejecuta en el momento de inicio, antes que se cargue el sistema operativo. Una vez que se infecta la máquina, el malware recolecta y envia la información cada 20 minutos. La información robada incluye direcciones de correo electrónico, contraseñas de Windows, credenciales FTP y cuentass POP/SMTP.
Y, por supuesto, información financiera:En diez días, Torpig obtuvo las credenciales de 8.310 cuentas de 410 instituciones diferentes. Las principales instituciones fueron PayPal (1.770 cuentas), Poste Italiane (765), CapitalOne (314), E*Trade (304), y Chase(217).Y números de tarjetas de crédito:
Extrajimos 1.660 número únicos de tarjetas de crédito y débito de la información que recolectamos. Mediante la geoubicación de las direcciones IP, deducimos que el 49% de los números de tarjetas vienen de víctimas en los EEUU, 12% de Italia, y 8% de España, con otros 40 países que completan el balance. Las tarjetas más comunes incluyen a Visa (1.056), MasterCard(447), American Express(81), Maestro(36), y Discover (24).Mientras que el 86% de las víctimas contribuyeron sólo con un número de tarjeta, otros ofrecieron varios más.
Resulta de particular interés el caso de una sola víctima a la cual se le extrajeron 30 números de tarjeta de crédito. Al examinarlo manualmente, descubrimos que la víctima era un agente, en su casa, de un centro de llamadas distribuido. Parece que los números de tarjetas era de aquellos clientes de la compañía para la cual trabajaba el agente, y que habían sido ingresados en la base de datos central del centro de llamadas para procesar órdenes (de compra).
El informe supone que la banda criminal tras Torpig obtuvo ganancias de entre u$s83.000 y u$s 8,3 millones durante el periodo de 10 días.
Para conocer más del secuestro de la botnet, vea La página del proyecto Torpig de Santa Barbara. Más en Slashdot y Threatpost.
Traducción exclusiva de Segu-info: Raúl Batista
Autor: Ryan Naraine
Fuente: Blogs ZDNet
Traducción by Raul Batista is licensed under a Creative Commons Atribución-No Comercial-Compartir Obras Derivadas Igual 2.5 Argentina License.
0 Comments:
Publicar un comentario
Gracias por dejar un comentario en Segu-Info.
Gracias por comentar!