Autoridades desmantelan botnets empleados para múltiples ciberataques
Hace algunos días, autoridades federales y socios internacionales han desmantelado una red de bots proxy del 911 S5, arrestando a un ciudadano de origen chino de 35 años de edad y a su socio administrador en Singapur.
Las acciones se llevaron a cabo con el apoyo de socios internacionales, realizando una operación cibernética conjunta y secuenciada para desmantelar la red de botnets, la cual, según estimaciones, sería probablemente la más grande del mundo, según las autoridades. Además de arrestar al administrador, se confiscó la infraestructura y los activos asociados a los botnets, además de imponer sanciones a todos los implicados.
En el año 2011, el principal cabecilla de estos cibercriminales habían introducido malware en los dispositivos de las víctimas, mediante aplicaciones de VPN maliciosas, entre las que incluían puertas traseras proxy. Estas aplicaciones de VPN que añadieron a equipos comprometidos a este servicio de proxi 911, incluyen MasVPN, PaladinVPN y ShieldVPN, entre otras.
Las autoridades competentes han proporcionado información detallada acerca de cómo determinar si los usuarios comunes han sido víctimas del malware 911. Del mismo modo, entre el año 2014 y el año 2022, se ha creado una red de millones de computadoras residenciales con Windows en todo el mundo, vinculadas a más de 19 millones de direcciones IP únicas, incluidas más de 600 mil direcciones IP en países como los Estados Unidos.
Los ciberdelincuentes administraban y controlaban, aproximadamente, 150 servidores en todo el mundo, en donde 76 de ellos se alquilaba a proveedores de servicios en línea con sede en los Estados Unidos. Empleando los servidores dedicados, el principal cabecilla implementó y administró aplicaciones y controló los dispositivos afectados, operando el servicio 911 S5 y proporcionó a los clientes que pagaban acceso a direcciones IP proxy asociadas con dispositivos infectados.
TIC Defense se encarga de proteger dispositivos personales y corporativos, con el fin de evitar que sean atacados y vulnerados por hackers maliciosos. Además, ponemos a tu disposición diversas herramientas y soluciones aptas para robustecer la infraestructura tecnológica de tu empresa.
Igualmente, investigadores de la Universidad de Sherbrooke han revelado en el mes de junio del 2022, que los operadores del 911 S5 pudieron atraer a las posibles víctimas con servicios VPN gratuitos para instalar el malware proxy.
Tiempo después, la central de botnets fue cerrada, luego de que, supuestamente, fueron destruidos componentes críticos de la operación en una brecha de seguridad. Sin embargo, la misma red resucitó como “CloudRouter” algunos meses después. Además, las autoridades están entregando órdenes de incautación a los registradores y entidades de registro, con el objetivo de que se apoderen de los dominios que la red criminal utiliza.
El ciudadano chino, líder de la red criminal, ha recaudado aproximadamente 100 millones de dólares vendiendo el acceso a las direcciones IP proxy a los cibercriminales, a cambio de una tarifa. Los actores maliciosos emplearon las conexiones a Internet de los dispositivos comprometidos para un amplio abanico de delitos, entre los que se incluyen ataques cibernéticos, acoso, fraude a gran escala y otras violaciones de seguridad.
Los clientes del 911 S5 emplearon también el servicio proxy residencial ilegítimo, para presentar decenas de miles de solicitudes fraudulentas para programas relacionados con ayudas económicas y sociales. Además, lo utilizaron para presentar más de 500 mil solicitudes fraudulentas de seguro de desempleo y más de 50 mil solicitudes de préstamos por daños económicos y desastres.
