El Departamento de Justicia de EE. UU. (DoJ) reveló el jueves que eliminó la infraestructura asociada con una botnet rusa conocida como RSOCKS en colaboración con socios encargados de hacer cumplir la ley en Alemania, los Países Bajos y el Reino Unido.
Se cree que la red de bots, operada por una organización sofisticada de delitos cibernéticos, atrapó a millones de dispositivos conectados a Internet, incluidos dispositivos de Internet de las cosas (IoT), teléfonos Android y computadoras para usar como un servicio de proxy.
Los botnets, una amenaza en constante evolución, son redes de dispositivos informáticos secuestrados que están bajo el control de una sola parte atacante y se utilizan para facilitar una variedad de intrusiones cibernéticas a gran escala, como ataques de denegación de servicio distribuido (DDoS), correo electrónico spam y criptojacking.
«La botnet RSOCKS ofreció a sus clientes acceso a direcciones IP asignadas a dispositivos que habían sido pirateados», dijo el Departamento de Justicia en un comunicado de prensa. «Los propietarios de estos dispositivos no otorgaron a los operadores de RSOCKS la autoridad para acceder a sus dispositivos con el fin de utilizar sus direcciones IP y enrutar el tráfico de Internet».
Además de las empresas domésticas y los individuos, varias entidades públicas y privadas grandes, incluida una universidad, un hotel, un estudio de televisión y un fabricante de productos electrónicos, han sido víctimas de la botnet hasta la fecha, dijeron los fiscales.
Los clientes que deseen aprovechar los servidores proxy de RSOCKS pueden alquilar el acceso a través de una tienda basada en la web durante diferentes períodos de tiempo a varios puntos de precio que van desde $ 30 por día para acceder a 2000 servidores proxy hasta $ 200 por día para acceder a 90 000 servidores proxy.
Una vez comprados, los delincuentes podrían redirigir el tráfico de Internet malicioso a través de las direcciones IP asociadas con los dispositivos de las víctimas comprometidas para ocultar su verdadera intención, que era llevar a cabo ataques de relleno de credenciales, acceder a cuentas de redes sociales comprometidas y enviar mensajes de phishing.
La acción es la culminación de una operación encubierta montada por la Oficina Federal de Investigaciones (FBI) a principios de 2017, cuando realizó compras encubiertas a RSOCKS para mapear su infraestructura y sus víctimas, lo que le permitió determinar aproximadamente 325,000 dispositivos infectados.
«A través del análisis de los dispositivos de las víctimas, los investigadores determinaron que la botnet RSOCKS comprometió el dispositivo de la víctima al realizar ataques de fuerza bruta», dijo el Departamento de Justicia. «Los servidores back-end de RSOCKS mantuvieron una conexión persistente con el dispositivo comprometido».
La interrupción de RSOCKS llega menos de dos semanas después de que se apoderara de un mercado en línea ilícito conocido como SSNDOB para traficar información personal como nombres, fechas de nacimiento, números de tarjetas de crédito y números de Seguro Social de aproximadamente 24 millones de personas en los EE. UU.
