Una vasta red de millones de computadoras comprometidas, que se utilizaban para facilitar una amplia gama de delitos cibernéticos, ha sido interrumpida por una operación policial multinacional. A la botnet 911 S5, descrita como «probablemente la botnet más grande del mundo» por el director del FBI, Christopher Wray, se le han confiscado su infraestructura y sus activos y su presunto autor intelectual ha sido arrestado y acusado. Se alega que YunHe Wang, de 35 años, con doble ciudadanía de China y St. Kitts y Nevis, junto con otros conspiradores, operó la botnet 911 S5 y creó y distribuyó malware para comprometer y secuestrar millones de computadoras con Windows en todo el mundo. Los métodos utilizados para reclutar PC en la botnet incluyeron la distribución de software VPN gratuito e ilegítimo como MaskVPN, DewVPN, PaladinVPN, ProxyGate, ShieldVPN y ShineVPN. Una vez que los usuarios descargaron estas aplicaciones VPN, sin saberlo, se conectaron a la infraestructura del 911 S5 y pasaron a formar parte de la botnet. Además, la botnet 911 S5 creció combinando su código con otro software (usando el disfraz de actualizaciones de seguridad falsas para aplicaciones como Adobe Flash Player) y a través de redes de intercambio de archivos peer-to-peer haciéndose pasar por software «crackeado» o pirateado. aplicaciones. En total, los dispositivos asociados con más de 19 millones de direcciones IP únicas (incluidas 613.841 direcciones IP ubicadas en los Estados Unidos) parecen haber sido reclutados en la botnet. Las autoridades afirman que Wang generó millones de dólares al ofrecer a los ciberdelincuentes acceso a las direcciones IP secuestradas por una tarifa, anonimizando sus actividades en línea. La botnet «911 S5» se utilizó a partir de 2014 para cometer una amplia gama de delitos, incluidos ciberataques, fraudes relacionados con la pandemia, explotación infantil, acoso y transmisión de amenazas de bomba. Por ejemplo, el Departamento de Justicia de Estados Unidos alega que se realizaron alrededor de 560.000 reclamaciones de seguros fraudulentas a partir de direcciones IP comprometidas por la botnet, lo que resultó en una pérdida superior a 5.900 millones de dólares. Según la Oficina de Industria y Seguridad (BIS) del Departamento de Comercio de Estados Unidos, el plan criminal generó a sus operadores casi 100 millones de dólares en ganancias, que se utilizaron para comprar relojes de lujo, bienes raíces y automóviles de lujo, incluido un Ferrari F8 Spider. dos BMW y un Rolls Royce. Organismos encargados de hacer cumplir la ley de Estados Unidos, Singapur, Tailandia y Alemania colaboraron en la operación contra la botnet, registrando propiedades, incautando activos por un valor aproximado de 30 millones de dólares estadounidenses y desmantelando la infraestructura de la botnet. El Departamento del Tesoro de Estados Unidos ha anunciado la imposición de sanciones contra Wang y otras dos personas presuntamente implicadas en el blanqueo del producto del plan criminal. Wang está acusado de conspiración para cometer fraude informático, fraude informático sustancial, conspiración para cometer fraude electrónico y conspiración para cometer lavado de dinero. Si es declarado culpable por todos los cargos, Wang enfrenta una sentencia de hasta 65 años de prisión. La botnet 911 S5 comenzó a operar en mayo de 2014 y su administrador la desconectó en julio de 2022, antes de cambiar su nombre a Cloudrouter en octubre de 2023. Los visitantes de la página web de CloudRouter verán hoy un aviso de incautación policial. El FBI ha creado una página web que ayuda a los usuarios a identificar y eliminar aplicaciones que pueden haber intentado reclutarlos en la botnet 911 S5. Si eres una empresa que permite a tu personal utilizar sus propios dispositivos, vale la pena tener en cuenta que también pueden haber realizado conexiones inadvertidas a la botnet 911 S5. Como tal, sería una buena idea comprobar dichos dispositivos para detectar una posible infección. Nota del editor: Las opiniones expresadas en este artículo de autor invitado son únicamente las del colaborador y no reflejan necesariamente las de Tripwire.