Archivo

Posts Tagged ‘quienteadmite.com’

¿Quién encargó los ataques DDoS?

febrero 22, 2008 95 comentarios

Sí, este blog estuvo suspendido porque fue objetivo de un ataque DDoS y en wordpress.com intentaron minimizar los efectos –ya no sé cómo pedir disculpas, me siento avergonzado por el daño a WordPress, perdón de nuevo–.

El ataque fue ejecutado por Omar Brandán (Norman), tuvimos varios avisos e incluso hay algún testigo. Norman también amenazó con atacar a elserver.com y lo cumplió durante tres horas de la madrugada del 21 de febrero. En este tiempo además hemos recopilado más información y evidencias claras de que norman –y/o sus compinches– se dedican al phishing, scams, carding, etc.

La evidencia que hemos conseguido –fueron inmediatamente pasadas a la Guardia Civil y a la Policia Federal Argentina vía Joel Churnik –de elserver.com, todo un crack, es el que hizo la denuncia en Argentina–. El perito, fiscal o juez que las estudie tiene más que suficiente para darse cuenta de la gravedad de las estafas que han cometido. Es como un escaparate de lo peor de la red.

En las pruebas aparecen miles de datos de tarjetas de crédito, pagos, cobros, código fuente de bots, posibles keyloggers de Windows, lista de servidores infectados, etc. etc. Yo nunca había visto algo así, y además es perfectamente coherente con las actividades que relató Morgan en su “entrevista”. Supongo que con sólo esas pruebas tendrán que dar muchas explicaciones, lo previsible es que tarde o temprano caerán, aunque sigan con sus DDoS descontrolados [1].

[1] Una de las cosas que aprendí es que las fuerzas de seguridad y la justicia no están dotadas para detener o impedir que se produzcan estos ataques, aunque los responsables estén perfectamente identificados. Creo que es una cosa pendiente, cada vez más importante, si alguien te aparca el coche en tu vado, en pocos minutos la grúa se lo lleva para que tú no tengas que tomar un taxi. Pero si unos niñatos dejan a tu sitio o empresa desconectada no puedes hacer absolutamente nada, más que denunciarlos y apañarte para detener los ataques durante todo el tiempo que dure. Es una gran putada, y la gente de Weblogs S.L., el server.com o el gigante WordPress.com lo padecieron durante demasiados días. Difícil de creer.

Resumen Ejecutivo

Los ataques fueron ejecutados por dos o tres chavales jóvenes, pero fueron por encargo de alguien. Aunque fueron ejecutados por las mismas personas, el ataque a Genbeta y Menéame fue por encargo de una persona por criticar a una de sus páginas. En cambio los largos ataques que está sufriendo la empresa argentina elserver.com tienen motivaciones distintas y fueron encomendados por personas diferentes.

El ataque a Genbeta y Menéame fue encargado y/o pagado por Agustín Buils alias Marcel, entre otras cosas el propietario de quienteadmite.com y decenas de otros sitios. Este señor parece tener un largo historial, basta leer por ejemplo Descubriendo a Marcel, o los demás artículo de dicho blogdisclaimer: no tengo nada que ver con ese blog, no tengo idea de quién lo hizo, pero contrasté parte de la información y coincide con la información que yo tengo–.

test.php

Recibí información de varias fuentes distintas de que el ataque a elserver.com fue ordenado o sugerido por una persona de nombre Juan M. A., alias Leo Smith. En los logs mostrados más abajo aparece varias veces, también en conversaciones con otras fuentes de Argentina.

¿Es verdad todo lo que me dijeron? no se puede estar seguro, han hecho lo imposible por confundirme, incluso el mismo Agustín Buils. Dedicamos mucho tiempo a contrastar la información entre diferentes fuentes y las que recopilaban en Argentina –nos caerá una factura telefónica astronómica–. Afortunadamente son tan bocazas que hasta ellos mismos fardan de los delitos que han cometido.

Entre las distintas fuentes más o menos fiable de España y de Argentina he contrastado y todas las evidencias apuntan a los mencionados, todas estas pruebas completas –aquí sólo hay una parte de unos pocos– están a disposición de las policias española y argentina.

¿Por qué lo publico?

  • Porque es la única forma de aclarar públicamente el embrollo y confusión que están intentando montar en Argentina.
  • Para aclarar y expandir lo explicado anteriormente –Problemas de red (sí, fue un DDoS), Siguen los ataques DDoS, De ciberdelincuentes y el mundo es pequeño,Ejercicio super mega interesante ¿saes? (los autores de los ataques DDoS)–.
  • Gran parte de esta información saldrá publicada en pocas horas en la Revista 23 de Argentina, aunque mucho más breve y sin profundizar.
  • Porque todos los acusados conocen perfectamente que la justicia está detrás de ellos, pero están convencidos que pueden zafar, mientras continúan con los ataques, especialmente a wordpress.com y elserver.com
  • Porque además de lo que explico hay muchas empresas y personas que fueron atacadas y extorsionadas, cuando conozcan mejor el tema seguramente se animarán a aportar a la denuncia.
  • Porque han amenazado físicamente a por lo menos un par de personas (me acaban de decir que incluso hay audio grabado) pensando que callando a ellos podrían evitar escapar de la justicia. Quizás si se dan cuenta que sabemos mucho más de lo que piensan dejen en paz a gente que no tiene nada que ver.
  • La información que publico es sólo una parte de lo que hemos recopilado e informado, además lo hago sólo después de obtener la opinión favorable –me contengo bastante– de las personas que están trabajando en Argentina –donde están dedicando muchos recursos de dinero y humanos–. Cualquier información que consideramos que podría afectar negativamente al proceso legal no la publicamos.
  • Hay otros españoles que también han recibido amenazas de Agustín Buils y que les han intentado liar igual que a nosotros. Algunas de estas personas ya pasaron datos a la Guardia Civil, a los demás los intento convencer que presenten denuncias o informen a la GC. Los datos que ya me pasaron (direcciones de MSN, dominios, etc.) son coherentes y confirman las demás fuentes, por ejemplo:

    Te listo las direcciones de este elemento, suele usar sobre todo las que te marco con asteriscos. Yo les tengo admitidos de nuevo viendo la que ha pasado, a ver si me cuentan algo o lo que sea por si os puedo decir algo más al respecto

    info@encuentrosweb.com *
    webmaster@quienteadmite.com *
    peritoforense@serviciodeinteligencia.com
    marcel@revisatumsn.com * –> relativamente nueva, hará menos de un mes que me adjunto a ella.

    Nota: puedo confirmar la última dirección, en uno de los logs con otra fuente me pegan una conversación con Marcel y en el “motivo” sale: que hacen en este msn? no saben que me cambie de msn a marcel@revisatumsn.com

  • Asumo riesgos –legales u otros–, no me da igual, pero los asumo. Tipejos como estos no se merecen el menor “respeto” –dentro de la legalidad–, y de vez en cuando hay que asumir al menos mínimos riesgos personales para evitar que cualquier mindundi con una botnet en paises lejanos pueda tener más efectos sobre la libertad de expresión o el funcionamiento de una empresa que un estado dictatorial. De todas formas esta aparente valentía es mucho más cómoda que las personas que están en el entorno de estos delincuentes, y que están acojonadas o que tienen que esconderse o cambiar de sitio sólo para no cruzarse con éstos. Es alucinante que siga ocurriendo en un país democrático, no puedo aceptar que alguien pueda vivir así, nuestros mobbings y bullyings que vemos en la TV son una auténtica tontería comparada con estos.
  • No toques los cojones a un friki (con el permiso y disculpas a los verdaderos frikis).

El chat con el dueño de quienteadmite.com

Primero nos envió un correo electrónico que no tiene desperdicio (ademaś habla bien de Emilio Ribera), y luego tuve dos sesiones de chat con “Marcel” pero se hacía pasar por otra persona, Jesús Ivan Reyna, dueña del dominio quienteadmite.com. El último ataque a WordPress comenzó a pocas horas después del último chat de la madrugada del 19 de febrero.

En los dos chats hay una curiosidad muy infrecuentes en usuarios del mésenyer. Por si no se nota, el extracto de un log que me pasó la misma fuente de abajo (xyz) durante el ataque a Menéame la noche del 8 de febrero [2]:

[2] En la mayoría de las líneas no sale el “nick”, así me los han pasado para ocultar la identidad, que luego supe es Marcel.

(22:17) : Http://meneame.net/story/weblogs-esta-siendo-atacada-no-retirar-noticias#comment-3 aca salio otra de esa
(22:21) : La voy a tirar
(22:51) : Http://meneame.net/ OFF
(22:51) : Bueno ahora que la tomen por el culo
(22:52) : Yo no, la tiro norman, pero me va a decir con cuanto hay que darle para cuando este online
(22:52) : Dice que va a estar un rato largo asi
(22:52) : Hizo algo parecido a lo de berggi
(22:54) : Up
(22:54) : Bueno
(22:54) : Con esa off
(22:54) : Se termina todo
(22:54) : De las notas
(22:55) : No se que quieren indexar en google estos
(22:55) : Pero asi me aseguro de que no jodan
(22:55) : Adios a meame y genbeta
(22:55) : Ahora que vayan por norman

minutos despues:

Emilio http://www.datafull.org dice: se van a reir los jueces
Emilio http://www.datafull.org dice: q me tirado q va decir
(0:43) Emilio http://www.datafull.org dice: ta bien
Emilio http://www.datafull.org dice: pues coño te voy a denunciar a guardi civil
Emilio http://www.datafull.org dice: joer tio
(0:43) : Segun emilio aca no pueden hacer nada
(0:52) : http://www.weblogssl.com/ esta tambien es española
(0:53) : Ahora mismo cae
(0:53) : Pero me voy a ir
(0:53) : A un cyber a 20 km
(0:53) : De mi casa
(0:53) : Para preparar una grna amenaza
(0:53) : Y hablen de otro tema
(0:53) : Estoy buscando nombres de arabes residentes en ciudad del este paraguay
(0:54) : Para que envien plata ahi, y creen articulos hablando de esa insolita amenaza
(0:54) : Asi como hablaron de esta noticia, saldran a hablar de una nueva noticia, ya no voy a volver a joder a los que hablan mal
(0:55) : Solo necesito que se desvirtue esta polemica
(0:55) : Y hablen de algo nuevo
(0:55) : Porque se esta reproduciendo de forma muy grande

¿Se nota el patrón? Sino hay mirar esta delirante sala de chat MSN –parece bastante habitual en este submundo– donde me metieron una noche, no entendí nada en el momento, releyendo me quedó claro: hay que seguir a lo que dice –y cómo escribe– el usuario Time, cecilia e info@encuentrosw.

Además de las amenazas que hacen dos de esos usuarios, que “cecilia” es la misma cuenta que se puso en contacto después conmigo, todos ellos comienzan sus líneas –absolutamente todas– con una letra mayuscula, aunque luego nos las use. Eso se debe a un parche para el mésenyer, es la primera y única vez que ví a alguien usarlo.

Extracto de conversaciones con una “fuente española”

A continuación unos extractos de una fuente española. Seleccioné esta porque es la primera que tuve en España sobre este caso, conocí su identidad al día siguiente del ataque a Menéame (sus datos completos figuran explícitamente en el escrito de la denuncia), porque envié copia de todo a la Guardia Civil y a Argentina, también porque esta persona estuvo en contacto directo con Agustín Bruils y algunos de los que ejecutaron los ataques DDoS.

Dicho esto, lo dejo por ahora –llevo toda la tarde buscando documentos– con una frase literal de “Marcel”:

EL QUE NO ENTIENDA QUE FUI EL CULPABLE ES PORQUE ES MOGOLICO

Leer más…

Seguir

Recibe cada nueva publicación en tu buzón de correo electrónico.

Únete a otros 481 seguidores