Arriva oggi la notizia della chiusura della “botnet” Mariposa, una rete di “pc zombie” utilizzata per compiere attività criminose. Secondo quanto riferito dai principali vendor di prodotti antivirus ed antimalware, parte della botnet Mariposa erano oltre 13 milioni di sistemi in ben 190 Paesi. I sistemi, una volta infettati, venivano comandati da remoto per compiere le operazioni più disparate a danno di terzi. La polizia spagnola ha arrestato tre uomini con l’accusa di essere i creatori di una delle più grandi botnet al mondo finalizzata alla sottrazioni di informazioni riservate, credenziali bancarie, password e numeri di carte di credito.
Stando ai primi resoconti, Mariposa avrebbe colpito numerosi sistemi di grandi aziende (oltre la metà delle 1.000) ed almeno quaranta importanti istituti di credito.
Rik Ferguson (Trend Micro) ha sottolineato quanto sia significativo il successo registrato nell’operazione che ha portato a sgominare gli autori di Mariposa: “si tratta di una botnent sicuramente di grandi dimensioni”, ha commentato l’esperto, “soprattutto se consideriamo che le botnet sono solitamente controllate e sfruttate da più gruppi criminali”.
Secondo Trend Micro, così come i principali player attivi nel campo della sicurezza informatica, sarebbe proprio la superficialità con cui l’argomento “botnet” viene visto dagli utenti comuni a contribuire, purtroppo, al successo del fenomeno. In molti sottovalutano il pericolo: ciò appare evidente esaminando qualche dato statistico. Secondo le recenti indagini svolte dai laboratori di Trend Micro, oltre il 75% di tutti i computer infettati da un bot sono in uso presso abitazioni. In tutto il mondo se ne contano decine di milioni. Una volta che il computer viene infettato (gli aggressori usano i vettori di attacco più disparati) esso entra a far parte di una rete mondiale sotto il pieno controllo di uno o più gruppi di criminali informatici.
Chi mette a punto le botnet sa bene come monetizzare “l’investimento”. I bot sono progettati, in primis, per rubare i dati di accesso ai servizi di online banking, le credenziali per l’utilizzo di strumenti come PayPal ed eBay, per l’accesso alla webmail o a qualunque altro servizio. Questi tipi di malware possono essere in grado di modificare quanto visualizzato dall’utente durante la navigazione in Rete con lo scopo di sottrarre un più ampio numero di dati personali.
Le reti botnet possono poi essere sfruttate come piattaforme di distribuzione di componenti maligni. Coloro che distribuiscono prodotti antivirus fasulli (“rogue antivirus”) o software truffaldini in genere (“rogue software”) spesso pagano i gestori di una o più botnet per provocare l’installazione dei malware sui sistemi controllati. Gli “spammer” ricorrono sovente alle botnet per diffondere rapidamente messaggi di posta indesiderati.
Il malware usato per infettare i sistemi e farli diventare parte di una botnet sono spesso realizzato in modo da eludere il controllo dei software antivirus tradizionali. Trend Micro, analizzando circa 100 milioni di macchine compromesse, ha stabilito come molte di esse restino infette, addirittura, per periodi che raggiungono i due anni.