O Departamento do Tesouro dos EUA sancionou uma rede de cibercrime composta por três cidadãos chineses e três empresas sediadas na Tailândia ligadas a um enorme botnet que controla um serviço de proxy residencial conhecido como "911 S5".
Pesquisadores da Universidade Canadense de Sherbrooke revelaram há quase dois anos, em junho de 2022, que este serviço ilegítimo de proxy residencial atraía vítimas em potencial ao oferecer serviços gratuitos de VPN para instalar malware projetado para adicionar seus endereços IP ao botnet 911 S5.
Na época, o botnet controlava aproximadamente 120.000 nós de proxy residenciais de todo o mundo, todos comunicando-se com vários servidores de comando e controle localizados em águas internacionais ou hospedados dentro de um servidor na nuvem.
Um mês depois, o jornalista investigativo Brian Krebs relatou que o 911 S5 "implodiu" após componentes-chave de suas operações de negócios serem destruídos em uma violação de segurança.
O botnet de proxy foi ressuscitado meses depois como "CloudRouter", de acordo com um relatório de fevereiro da empresa de cybersecurity Spur Intelligence.
"O botnet 911 S5 era um serviço malicioso que comprometia os computadores das vítimas e permitia que os cibercriminosos proxyassem suas conexões de internet através desses computadores comprometidos", disse o Escritório de Controle de Ativos Estrangeiros (OFAC) na terça-feira(28).
"Uma vez que um cibercriminoso tinha disfarçado seus rastros digitais através do botnet 911 S5, seus crimes cibernéticos pareciam rastrear de volta para o computador da vítima, ao invés do seu próprio."
O OFAC adicionou que o botnet de proxy residencial comprometeu aproximadamente 19 milhões de endereços IP.
Esses dispositivos infectados permitiram que cibercriminosos submetessem dezenas de milhares de aplicações fraudulentas para programas relacionados ao Coronavirus Aid, Relief, and Economic Security Act, resultando em bilhões de dólares em perdas.
Usuários do 911 S5 também o utilizaram para cometer fraude cibernética em grande escala usando endereços IP residenciais vinculados a computadores comprometidos.
Esses endereços IP também foram usados em uma série de ameaças de bomba feitas em todo os Estados Unidos em julho de 2022.
O OFAC sancionou hoje Yunhe Wang (o administrador do serviço 911 S5), Jingping Liu (o lavador de dinheiro da operação) e Yanni Zheng (que atuou como procurador de Yunhe Wang), bem como três entidades (Spicy Code Company Limited, Tulip Biz Pattaya Group Company Limited, e Lily Suites Company Limited), todas de propriedade ou controladas por Yunhe Wang.
"Estes indivíduos usaram sua tecnologia de botnet maliciosa para comprometer dispositivos pessoais, permitindo que cibercriminosos garantissem fraudulentamente assistência econômica destinada àqueles em necessidade e aterrorizassem nossos cidadãos com ameaças de bomba", disse o Subsecretário Brian E. Nelson.
O Tesouro, em estreita coordenação com nossos colegas da aplicação da lei e parceiros internacionais, continuará a agir para interromper cibercriminosos e outros atores ilícitos que buscam roubar dos contribuintes dos EUA.
Como resultado das sanções de hoje, todas as transações envolvendo interesses e propriedades dos EUA de indivíduos e entidades designados são proibidas, e lidar com indivíduos e empresas sancionadas também os expõe a sanções ou ações de fiscalização.
A empresa de cybersecurity Mandiant também alertou na semana passada que hackers de estado chineses estão cada vez mais confiando em vastas redes de servidores proxy (também conhecidas como redes de caixas de relevo operacional) construídas a partir de dispositivos online comprometidos e servidores privados virtuais para evitar detecção durante suas campanhas de ciberespionagem.
Publicidade
O curso Python Básico da Solyd oferece uma rápida aproximação à linguagem Python com diversos projetos práticos. Indo do zero absoluto até a construção de suas primeiras ferramentas. Tenha também suporte e certificado gratuitos. Saiba mais...