El FBI identifica al capo del spam ‘Mega-D’ ruso – Krebs on Security

Los investigadores federales han identificado a un hombre ruso de 23 años como el autor intelectual de la notoria red de bots «Mega-D», una red de computadoras que lanzan spam y que alguna vez representó aproximadamente un tercio de todo el spam enviado en todo el mundo.

Según documentos judiciales públicos relacionados con una investigación en curso, una investigación del gran jurado ha acusado a un residente de Moscú Oleg Nikolaenko como autor y operador de la botnet Mega-D.

Los agentes federales se establecieron en Nikolaenko gracias a la información proporcionada por lance atkinsonun hombre australiano nombrado como co-conspirador en la operación de falsificación y marketing por correo electrónico «Affking» que se cerró en 2008 después de las investigaciones del FBI, el Comisión Federal de Comercio y las autoridades internacionales encargadas de hacer cumplir la ley. El programa Affking generó ingresos de 500.000 dólares al mes mediante el uso de spam para promocionar relojes Rolex falsificados, píldoras de «mejora masculina» a base de hierbas y medicamentos recetados genéricos.

Como parte de su declaración de culpabilidad por violaciones de spam, Atkinson proporcionó a los investigadores información sobre los principales spammers que ayudaron a promocionar los productos de Affking. Entre ellos se encontraba un afiliado que usó el apodo en línea “docente”, quien ganó casi $467,000 en comisiones durante un período de seis meses en 2007.

Atkinson dijo a los investigadores que las comisiones de Docent se enviaban a una cuenta de ePassporte, con el nombre «Genbucks_dcent», que estaba vinculada a la dirección de correo electrónico «[email protected]». Los registros solicitados por el gran jurado encontraron que la cuenta del pasaporte electrónico estaba registrada a nombre de Nikolaenko en una dirección en Moscú.

Según documentos judiciales, los investigadores encontraron numerosos archivos ejecutables en la bandeja de entrada de Gmail de Docent. Esos archivos fueron analizados por investigadores de SecureWorksuna empresa de seguridad con sede en Atlanta, que descubrió que eran muestras del malware Mega-D.

Actualizar: [Nikolaenko was reportedly arrested in the United States recently. See update at the end, after the jump.]

Pero los investigadores estadounidenses perdieron al menos dos oportunidades de detener a Nikolaenko: el gran jurado dijo que una revisión de los registros del Departamento de Estado de EE. UU. indica que Nikolaenko ingresó a Estados Unidos en Los Ángeles el 17 de julio de 2009 y salió del país diez días después. Regresó a los EE. UU. el 29 de octubre de 2009, ingresó desde Nueva York y visitó Las Vegas antes de salir del país el 9 de noviembre desde Los Ángeles.

Los investigadores dicen que se suponía que Nikolaenko saldría de Los Ángeles el 11 de noviembre, pero acortó su viaje en dos días. Llegaron a la conclusión de que el joven de 23 años se fue temprano porque quería llegar a casa para reparar el daño que los expertos en seguridad habían infligido a su botnet. El 4 de noviembre de 2009, investigadores de Milpitas, California, con sede en ojo de fuego ejecutó un ataque de «aturdimiento» en Mega-D tomando el control de las redes de control de la botnet.

“Según el momento del ataque de Fireeye en la botnet Mega-D, creo que Nikolaenko abandonó los EE. UU. antes de tiempo para reparar el daño causado por Fireeye”, escribió el agente especial. Brett E. Banneren la denuncia del gobierno contra Nikolaenko.

Después del derribo de FireEye, el spam de Mega-D casi desapareció. Pero en los días posteriores a su regreso a Moscú, la red de bots se recuperó gradualmente y, para el 22 de noviembre, el spam de Mega-D volvió a los niveles de actividad previos a la eliminación. Para el 13 de diciembre, Mega-D era responsable de enviar casi el 17 por ciento del spam en todo el mundo, según el proveedor de seguridad. Seguridad M86.

joe stewartun investigador de seguridad sénior de SecureWorks, dijo que a principios de noviembre de 2009, había al menos 120 000 computadoras infectadas con Mega-D que retransmitían spam, pero Stewart dijo que no ha visto ninguna señal de actividad de Mega-D. durante los últimos meses.

Si bien Mega-D puede estar muerto, la información obtenida por KrebsOnSecurity.com sugiere que, no obstante, Nikolaenko ha continuado enviando spam y que, al menos hasta junio de 2010, fue uno de los afiliados con mayores ganancias para Spamit.com. Antes de su cierre a fines de septiembre de 2010, Spamit era el programa de afiliados más activo del mundo para promover medicamentos recetados falsos.

Un afiliado de Spamit que usaba la misma dirección “[email protected]” ganó casi $81,000 en los primeros cinco meses de 2010 promocionando farmacias en línea para Spamit. Las ganancias se depositaron en la misma cuenta de pasaporte electrónico «Genbucks_dcent» mencionada en la denuncia penal contra Nikolaenko. No está claro si Nikolaenko pudo disfrutar de todas esas ganancias: ePassporte también se vino abajo en septiembre, dejando a miles de clientes sin acceso a millones de dólares en fondos.

Una copia de la denuncia completa contra Nikolaenko está disponible aquí (PDF).

Actualización, 2 de diciembre, 5:40 p. m. ET: El centinela del diario de Milwaukee-Wisconsin informes que Nikolaenko fue arrestado después de ingresar a los Estados Unidos para asistir a una exhibición de autos en Las Vegas. Está programado para hacer su aparición inicial en la corte en Milwaukee el viernes.

Deja un comentario