Detenidos todos los integrantes de la red Carberp

El siguiente artículo es una traducción y adaptación de la publicación All Carberp botnet organizers arrested realizada por nuestro compañero e investigador Aleksandr Matrosov.

Hemos estado vigilando la actividad del grupo de cibercriminales Carberp durante tres años. Este seguimiento empezó en 2009 con las primeras muestras del malware Carberp propagándose activamente. A principios de 2010, la segunda oleada de actividad de Carberp sobrepasó la de otras familias de malware (Win32/Spy.Shiz, Win32/Hodprot) en Rusia. Resumimos la primera fase de nuestra investigación en la presentación “Cybercrime in Russia: Trends and issues” en el evento CARO 2011. Este año hemos resumido los resultados de las investigaciones realizadas a posteriori en la presentación “Carberp Evolution and BlackHole: Investigation Beyond the Event Horizon” en el evento CARO 2012.

Durante este periodo tres grupos diferentes de cibercriminales trabajaron con Carberp. El primer grupo empezó en 2009 y el organizador de este grupo tuvo una relación directa con el desarrollador principal de Carberp. Este grupo comenzó usando software legítimo de control remoto para poder robar dinero manualmente cuando una máquina se encontraba conectada (Sheldor-Shocked). En 2010 las fuentes de Carberp se vendieron al segundo grupo y trabajaron en paralelo.

ESET España - Arresto integrantes Carberp

A principios del verano de 2011, la mayor botnet Carberp de todos los tiempos fue iniciada por los organizadores de la botner Hodprot (Hodprot: Hot to Bot). A finales de octubre de 2011 vimos las primeras detecciones de variantes del descargador de Carberp que incluía un bootkit (Evolution of Win32/Carberp: going deeper). Esta botnet tenía el nombre en clave “Origami” y su panel de administración lucía así:

ESET España - Detenidos integrantes Carberp

ESET España - Detenidos integrantes Carberp

ESET España - Detenidos integrantes Carberp

Este grupo usó plugins específicos para atacar los sistemas bancarios más importantes de Rusia y realizó experimentos con phishing en redes sociales populares (Facebook Fakebook: New Trends in Carberp Activity). A finales de 2011 empezó una campaña de infecciones masivas de sitios legítimos con redirecciones al kit de exploits BlackHole (Carberp + BlackHole = growing fraud incidents, Blackhole, CVE-2012-0507 and Carberp). En abril de 2012 se abandonó BlackHole por la versión más reciente del Nuclear Pack usando una inteligente técnica de redirección (Exploit Kit plays with smart redirection).

Durante todo el periodo el primer grupo usó Win32/Sheldor para robar dinero manualmente y en 2011 Sheldor evolucionó a Win32/RDPdoor (basado en el software legítimo ThinSoft BeTwin). La última versión de Win32/RDPdoor tiene una funcionalidad que detecta una smartcard y permite la explotación remota de estas de forma transparente para  instalar la aplicación FabulaTech USB para permitir el acceso por Escritorio Remoto (Smartcard vulnerabilities in modern banking malware). El panel de administración de la última versión de Win32/RDPdoor es así:

ESET España - detenidos operación Carberp

ESET España - detenidos operación Carberp

ESET España - detenidos operación Carberp

Ahora, los organizadores de los tres grupos ya han sido arrestados en Rusia. Las noticias del primer arresto fueron publicadas en marzo de 2012 (Members of the largest criminal group engaged in online banking fraud are detained). Uno de los organizadores del segundo grupo fue arrestado a principios de junio de 2012 (Group-IB aided Russian law enforcement agents in arresting yet another cybercriminal group). A finales de junio, el organizador de la botnet “Origami/Hodprot” también fue arrestado (One of the largest banking botnets has been disabled).

Las estadísticas de las detecciones de Win32/RDPdoor son las siguientes:

ESET España - Detención operación carberp
[Datos de la nube Live Grid]
Las estadísticas de las detecciones de Carberp son las siguientes:

ESET España - Detección operación Carberp
[Datos de la nube Live Grid]
ESET España - Detección operación Carberp
[Datos de la nube Live Grid]

Todos los organizadores de la botnet Carberp han sido arrestados, pero nuestras estadísticas no están reflejando un descenso importante en las detecciones. La región de Rusia lidera las detecciones de Carberp y tras los arrestos mostró un ligero descenso. En el gráfico por tiempo podemos ver una bajada en las infecciones tras cada arresto, como por ejemplo en la información del mes de junio. Pero a finales de junio, un organizador de la botnet Carberp más grande, “Origami/Hodprot” (con millones de bots activos al mismo tiempo) fue arrestado. Es un caso único, entre todos los delincuentes que organizaron botnets realmente grandes y obtuvieron grandes beneficios (millones de dólares), el que fuera arrestado.

Agradecimientos especiales a mis compañeros del Grupo-IB, Dmitry Volkov and Ilya Sachkov, quienes se encargaron de la mayor parte de la investigación en el caso Carberp

Josep Albors

@JosepAlbors

Comentar

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

Atención: nuestra página utiliza cookies Al utilizar nuestro sitio web, consiente nuestra política de uso.

Aceptar y ocultar este mensaje