venerdì 5 marzo 2010

Spagna, smantellata la botnet che ha infettato 13 milioni di Pc


"Mariposa" era una rete di computer sparsa in 190 paesi: sottrazione di informazioni personali riservate, credenziali bancarie, password e numeri di carta di credito


La polizia spagnola ha smantellato una tra le più grandi "reti" informatiche della cybercriminalità, arrestando tre giovani che avevano il controllo della "botnet", chiamata Mariposa. La "botnet", nel gergo informatico, è una rete di computer che, all'insaputa dei proprietari, è controllata da pirati informatici ed utilizzata per scopi diversi, come, ad esempio, l'appropriazione di dati sensibili degli utenti: "Mariposa" aveva coinvolto, fino ad oggi, oltre 13 milioni di computer sparsi in 190 Paesi. L'arresto dei tre cybercriminali ha permesso così di "spegnere" una delle più grandi botnet al mondo finalizzata alla sottrazione di informazioni personali riservate, credenziali bancarie, password e numeri di carte di credito. Finora, la "botnet" aveva preso il controllo dei computer di grandi aziende (oltre la metà delle 1.000 imprese più grandi al mondo) e di almeno 40 importanti banche. Sui computer degli arrestati la polizia postale spagnola ha trovato i dati personali "sensibili" di oltre 800 mila persone. Gli esperti di sicurezza sottolineano che l'arresto dei responsabili di Mariposa costituisce un piccolo ma significativo successo contro "la piaga" delle botnet, diventate ormai lo strumento preferito dai criminali informatici. Rik Ferguson, ricercatore di Trend Micro ha commentato: "Mariposa, come botnet controllata da un unico gruppo di criminali, è sicuramente una botnet di grandi dimensioni, soprattutto se consideriamo che le botnet sono solitamente controllate e sfruttate da più gruppi criminali". "I computer compromessi, in alcuni casi, possono arrivare anche a 100 milioni, com'è emerso da nostre analisi precedenti, ciò significa che Mariposa, pur essendo considerevole come singola botnet, è tuttavia piccola rispetto al numero totale di PC potenzialmente infettabili", ha concluso Ferguson. Ma come funziona una "botnet"? I criminali usano software pericoloso, o malware, per penetrare nei computer altrui. Le macchine così infettate sono soprattutto i PC di casa di normali utenti. Recenti statistiche pubblicate da TrendLabs indicano che il 75% di tutti i computer infettati da un bot risiedono in un'abitazione privata, e in tutto il mondo se ne contano decine di milioni. Un computer infettato si trova sotto il pieno controllo remoto di un criminale. "Bot" è un'abbreviazione di "robot"; un altro termine spesso applicato a questo genere di infezioni è "zombie", per ovvie ragioni. Una rete botnet è un gruppo di computer che ricadono sotto il controllo di un singolo individuo o di una banda criminale. Questi criminali usano i computer infettati come risorsa per guadagnare denaro e, con l'esplosione di una vera e propria economia sotterranea, hanno messo a punto vari metodi per monetizzare i loro "investimenti". Le botnet sono innanzitutto progettate per sottrarre i dati per il login ai servizi di home banking, credenziali per l'uso di servizi online come PayPal ed eBay, o per accedere alla webmail - in pratica qualunque combinazione username/password che possa esistere su un computer. Le botnet sono anche in grado di aggiungere surrettiziamente contenuti supplementari alle pagine dei siti bancari per acquisire ulteriori informazioni: un esempio può essere una reale pagina di login del sito di una carta di credito che venga estesa per richiedere non solo username e password, come di consueto, ma anche il PIN del bancomat. Oltre a essere utilizzate per la sottrazione di informazioni, le reti botnet vengono spesso affittate ad altri gruppi criminali come piattaforma di distribuzione. Chi per esempio intende distribuire un software antivirus fasullo può pagare il proprietario di una botnet in base al numero di copie del programma scaricate sui computer controllati dalla botnet stessa; chi deve inviare grandi quantità di messaggi spam può subappaltarne la spedizione al proprietario di una botnet che userà i PC infetti per diffondere spam ovunque. I bot sono impiegati anche per installare siti Web pericolosi approntati in maniera tale da allargare la catena delle infezioni o siti di phishing progettati per sottrarre informazioni. In alcuni casi i PC infettati sono usati per rendere possibile il download di contenuti pornografici legali e illegali. Il malware usato per infettare i computer è spesso realizzato affinché eluda i controlli dei software antivirus tradizionali, e molti siti Web legittimi vengono compromessi per infettare il visitatore di passaggio. Il software necessario per crearsi una propria botnet è gratuitamente disponibile nei forum online. Criminali incalliti e principianti assoluti si dedicano sempre più a queste attività. Una botnet è la piattaforma preferita dalla maggior parte dei cybercriminali. E così sempre più computer vengono infettati, e restano tali per periodi di tempo sempre più lunghi. Una precedente analisi condotta da Trend Micro su 100 milioni di PC compromessi ha evidenziato che in molti casi i computer restano infetti per circa 2 anni. Cosa si può fare? Innanzitutto tenendosi informati. E poi scoprire come funziona il proprio software antivirus. Ad esempio, se non avvisa nel momento in cui visitate una pagina Web potenzialmente pericolosa allora non è in grado di proteggervi. E poi aggiornare costantemente il software antivirus e di Internet Security in modo da avere sempre tutte le "definizioni" dei nuovi malware e dei nuovi programmi pericolosi, così come delle pagine Web potenzialmente infette.

FONTE: Claudio Gerino (repubblica.it)