Un po di tempo fa avevamo visto che si prospettava per la botnet di Storm Worm la possibilita' di affitto di porzioni di questa rete per scopi illeciti.
In effetti esiste gia', come vedremo, il modo' di affittare computers facenti parte di una botnet, che poi si tratti di Storm Worm botnet non e' chiaro, ma e' la prima cosa a cui viene da pensare.
D'altronde come evidenzia ddanchev.blogspot.com in uno dei suoi recenti post, il fatto che questa botnet venga affittata 'on demand' e non noleggiata con offerta di segmenti di rete botnet ben definiti, potrebbe far pensare a qualcosa di diverso , magari non ancora funzionante al 100% delle possibilta'.
In ogni caso, tramite un sito, che il whois rileva come registrato in Turchia, viene proposta una serie di pagine con tutti i dati necessari per poter affittare un certo numero di computers di questa rete botnet.
La main page ci presenta il regolamento e le faqs circa l'affitto della rete botnet. (Per la visualizzazione e' stato utilizzato Google Translator per passare dalla lingua russa all'inglese)
Possiamo poi vedere un po di statistiche, aggiornate, al riguardo di come sta funzionando la botnet.
Al momento ad esempio abbiamo circa 19.000 pc infetti che fanno parte della rete e ce ne sono online 1.928; inoltre nelle ultime 2 ore sarebbero stati aggiunti alla rete botnet (compromessi) 652 pc e nelle ultime 24 ore sarebbero 3183.
La tabella poi illustra le disponibilita' attuali divise per nazione.
Queste invece sono le tariffe (si presume per 1000 pc infetti messi a disposizione).
Si va dai 300$/1k per l'Australia, $200/1k per pc in Italia fino a 40$/1k per la Russia.
Cosa si possa fare disponendo di una rete botnet e' evidente; dallo spamming al phishing, dall' hosting alla distribuzione di malware utilizzando le infrastrutture in affitto, fino a casi di spionaggio aziendale.
Come si vede dal whois il sito e' regitrato presso un provider turco gia' noto per casi di spamming, phising di siti di banche ecc...
Rbnexploit.blogspot.com evidenzia che se si esegue un lookup dettagliato del sito in questione si arriva pero' a due range AS30315 and AS31898 che sono due domains ranges appartenenti a Resellerclub and Logic Boxes, gestiti da Directi.com, che e' un provider basato in India.
Poiche', continua rbnexploitblog il sito che ospita l'affitto della botnet e' sinonimo di RBN si deduce che ci troveremmo di fronte ad un collegamento del tipo RBN -> AbdAllah_Internet (Turchia) -> Directi.com (India) che dimostrerebbe l'utilizzo attuale da parte di RBN di host locati nei due paesi asiatici.
Edgar
In effetti esiste gia', come vedremo, il modo' di affittare computers facenti parte di una botnet, che poi si tratti di Storm Worm botnet non e' chiaro, ma e' la prima cosa a cui viene da pensare.
D'altronde come evidenzia ddanchev.blogspot.com in uno dei suoi recenti post, il fatto che questa botnet venga affittata 'on demand' e non noleggiata con offerta di segmenti di rete botnet ben definiti, potrebbe far pensare a qualcosa di diverso , magari non ancora funzionante al 100% delle possibilta'.
In ogni caso, tramite un sito, che il whois rileva come registrato in Turchia, viene proposta una serie di pagine con tutti i dati necessari per poter affittare un certo numero di computers di questa rete botnet.
La main page ci presenta il regolamento e le faqs circa l'affitto della rete botnet. (Per la visualizzazione e' stato utilizzato Google Translator per passare dalla lingua russa all'inglese)
Possiamo poi vedere un po di statistiche, aggiornate, al riguardo di come sta funzionando la botnet.
Al momento ad esempio abbiamo circa 19.000 pc infetti che fanno parte della rete e ce ne sono online 1.928; inoltre nelle ultime 2 ore sarebbero stati aggiunti alla rete botnet (compromessi) 652 pc e nelle ultime 24 ore sarebbero 3183.
La tabella poi illustra le disponibilita' attuali divise per nazione.
Queste invece sono le tariffe (si presume per 1000 pc infetti messi a disposizione).
Si va dai 300$/1k per l'Australia, $200/1k per pc in Italia fino a 40$/1k per la Russia.
Cosa si possa fare disponendo di una rete botnet e' evidente; dallo spamming al phishing, dall' hosting alla distribuzione di malware utilizzando le infrastrutture in affitto, fino a casi di spionaggio aziendale.
Come si vede dal whois il sito e' regitrato presso un provider turco gia' noto per casi di spamming, phising di siti di banche ecc...
Rbnexploit.blogspot.com evidenzia che se si esegue un lookup dettagliato del sito in questione si arriva pero' a due range AS30315 and AS31898 che sono due domains ranges appartenenti a Resellerclub and Logic Boxes, gestiti da Directi.com, che e' un provider basato in India.
Poiche', continua rbnexploitblog il sito che ospita l'affitto della botnet e' sinonimo di RBN si deduce che ci troveremmo di fronte ad un collegamento del tipo RBN -> AbdAllah_Internet (Turchia) -> Directi.com (India) che dimostrerebbe l'utilizzo attuale da parte di RBN di host locati nei due paesi asiatici.
Edgar
Nessun commento:
Posta un commento