Estados Unidos desmantela la red de bots 911 S5 más grande del mundo, con 19 millones de dispositivos infectados.

Por:


El Departamento de Justicia de los Estados Unidos (DoJ) informó el miércoles que desmanteló lo que describió como “probablemente la red de bots más grande del mundo”, la cual consistía en un ejército de 19 millones de dispositivos infectados que eran alquilados a otros actores de amenazas para cometer una amplia gama de delitos.

La red de bots, que tiene presencia global en más de 190 países, funcionaba como un servicio de proxy residencial conocido como 911 S5. Un ciudadano chino de 35 años, YunHe Wang, fue arrestado en Singapur el 24 de mayo de 2024, por crear y actuar como administrador principal de la plataforma ilegal desde 2014 hasta julio de 2022.

Wang ha sido acusado de conspiración para cometer fraude informático, fraude informático sustantivo, conspiración para cometer fraude bancario y conspiración para cometer lavado de dinero. Si es declarado culpable de todos los cargos, Wang enfrenta una pena máxima de 65 años de prisión.

El Departamento de Justicia dijo que la red de bots se utilizó para llevar a cabo ataques cibernéticos, fraudes financieros, robo de identidad, explotación infantil, acoso, amenazas de bomba y violaciones de exportación.

Cabe destacar que Wang fue identificado como el propietario de 911 S5 por el periodista de seguridad Brian Krebs en julio de 2022, tras lo cual se cerró abruptamente el 28 de julio de 2022, citando una brecha de datos en sus componentes clave.

Ciberseguridad

Aunque resurgió bajo un nombre de marca diferente CloudRouter unos meses más tarde, según Spur, el servicio ha cesado operaciones desde el fin de semana pasado, según informó Brian Krebs el co-fundador de la empresa de ciberseguridad Riley Kilmer.

“Se alega que Wang y otros crearon y difundieron malware para comprometer y acumular una red de millones de computadoras con Windows residenciales en todo el mundo”, según una acusación desglosada.

“Estos dispositivos estaban asociados con más de 19 millones de direcciones IP únicas, incluidas 613,841 direcciones IP ubicadas en Estados Unidos. Wang luego generó millones de dólares ofreciendo a los ciberdelincuentes acceso a estas direcciones IP infectadas a cambio de un pago.”

Proxies residenciales (RESIPs) son redes de dispositivos de usuarios legítimos que enrutan el tráfico en nombre de suscriptores pagos. Normalmente implica que los proveedores alquilan acceso para enrutar el tráfico de red a través de computadoras, teléfonos inteligentes o enrutadores pertenecientes a usuarios reales.

El objetivo principal de utilizar dichos servicios de proxyware es canalizar el tráfico a través de las direcciones IP de estos dispositivos para anonimizar el origen de las solicitudes maliciosas.

Documentos judiciales acusan a Wang de presuntamente propagar el malware a través de programas de Red Privada Virtual (VPN) gratuitos, como MaskVPN y DewVPN, así como otros servicios de pago por instalación que lo empaquetaron con software pirateado.

Se estima que el acusado administraba una infraestructura que abarcaba 150 servidores en todo el mundo, 76 de los cuales fueron tomados de proveedores de servicios en línea con sede en Estados Unidos.

Ciberseguridad

“Usando los servidores dedicados, Wang desplegó y gestionó aplicaciones, comandó y controló los dispositivos infectados, operó su servicio 911 S5, y proporcionó a los clientes que pagaban acceso a las direcciones IP de proxy asociadas con los dispositivos infectados”, dijo el DoJ.

También se alega que 911 S5 permitió a actores delictivos sortear los sistemas de detección de fraudes financieros y robar miles de millones de dólares a instituciones financieras, emisores de tarjetas de crédito y programas de préstamos federales, incluidas la ayuda por la pandemia y el Programa de Préstamos por Daños Económicos de Desastres (EIDL) mediante la presentación de reclamos fraudulentos.

Además, el servicio permitió a los atacantes que residen fuera de Estados Unidos comprar bienes con tarjetas de crédito robadas o procedentes de actividades delictivas, y exportarlos ilegalmente fuera del país en violación de las leyes de exportación de Estados Unidos.

Por su parte, se estima que Wang recibió aproximadamente $99 millones por vender acceso a las direcciones IP de proxy secuestradas, utilizando el dinero ilícito para comprar cuatro autos de lujo, varios relojes caros y 21 propiedades residenciales o de inversión en Estados Unidos, China, Singapur, Tailandia y los Emiratos Árabes Unidos.

Otros activos digitales propiedad de Wang incluyen más de una docena de cuentas bancarias nacionales e internacionales y más de 24 monederos de criptomonedas, que se utilizaron para llevar a cabo el esquema. La firma de análisis de blockchain Chainalysis reveló que las direcciones asociadas con Wang contienen $136.4 millones en criptomonedas.

El desmantelamiento, resultado de un esfuerzo coordinado entre Estados Unidos, Singapur, Tailandia y Alemania, ha resultado en la interrupción de 23 dominios y más de 70 servidores que constituyen la base de 911 S5. El esfuerzo también vio el decomiso de activos valuados en aproximadamente $30 millones.

Paralelamente a la acusación de Wang, la Oficina de Control de Activos Extranjeros (OFAC) del Departamento del Tesoro impuso sanciones contra el acusado junto con su co-conspirador Jingping Liu y el apoderado Yanni Zheng por sus actividades relacionadas con la red de bots 911 S5 y el servicio de proxy residencial.

La agencia también sancionó tres entidades con sede en Tailandia, a saber, Spicy Code Company Limited, Tulip Biz Pattaya Group Company Limited y Lily Suites Company Limited, que se dice que son propiedad o están controladas por Wang, señalando que Spicy Code Company Limited se utilizó para comprar propiedades inmobiliarias en el país.

“La conducta alegada aquí parece sacada de un guion de cine: un esquema para vender acceso a millones de computadoras infectadas por malware en todo el mundo, lo que permite a los criminales en todo el mundo robar miles de millones de dólares, enviar amenazas de bomba y intercambiar materiales de explotación infantil”, dijo Matthew S. Axelrod de la Oficina de Seguridad Industrial del Departamento de Comercio de Estados Unidos (BIS).

“Lo que no muestran las películas, sin embargo, es el trabajo meticuloso que requiere el cumplimiento por parte de las fuerzas del orden nacionales e internacionales, trabajando en estrecha colaboración con socios de la industria, para desmantelar un esquema tan audaz y lograr un arresto como este”.





Fuente

Compartir:

Entradas relacionadas