Na quarta-feira, o Departamento de Justiça dos EUA anunciou a desarticulação do que descreveram como “possivelmente a maior botnet do mundo”. Esta botnet, composta por cerca de 19 milhões de dispositivos infectados, era alugada a outros agentes de ameaças para perpetrar uma série de crimes em escala global, abrangendo mais de 190 países.
Botnet 911 S5
Conhecida como 911 S5, esta botnet operava como um serviço de proxy residencial. YunHe Wang, um cidadão chinês de 35 anos, foi detido em Singapura em 24 de maio de 2024. Ele é acusado de criar e liderar a plataforma ilegal de 2014 a julho de 2022.
As acusações contra Wang incluem conspiração para fraude informática, fraude informática substantiva, conspiração para fraude eletrônica e conspiração para lavagem de dinheiro. Se for considerado culpado em todas as acusações, Wang pode enfrentar até 65 anos de prisão.
O Departamento de Justiça afirmou que a botnet foi usada para uma variedade de atividades criminosas, como ataques cibernéticos, fraudes financeiras, roubo de identidade, exploração infantil, assédio, ameaças de bomba e violações de exportação.
Vale ressaltar que Wang foi identificado como o responsável pelo 911 S5 pelo jornalista de segurança Brian Krebs em julho de 2022. Após esta revelação, o serviço foi abruptamente encerrado em 28 de julho de 2022, citando uma violação de dados em seus principais componentes.
Spur, de acordo com Riley Kilmer, cofundador de uma empresa de segurança cibernética, encerrou suas operações no fim de semana passado, embora tenha ressurgido sob o nome CloudRouter alguns meses depois, como relatado por Krebs.
De acordo com uma acusação não selada, Wang e outros são acusados de criar e espalhar malware para comprometer e controlar uma rede de milhões de computadores residenciais Windows em todo o mundo. Esta rede abrangeu mais de 19 milhões de endereços IP exclusivos, incluindo 613.841 nos Estados Unidos. Wang lucrou milhões de dólares oferecendo acesso a esses endereços IP infectados para cibercriminosos mediante pagamento de uma taxa.
Proxies residenciais (RESIPs) são redes compostas por dispositivos de usuários legítimos que encaminham o tráfego em nome de assinantes pagantes. Geralmente, esses serviços são fornecidos por provedores que alugam acesso para redirecionar o tráfego de rede por meio de computadores, smartphones ou roteadores pertencentes a usuários reais.
O principal propósito desses serviços de proxy é rotear o tráfego através dos endereços IP desses dispositivos, ocultando assim a origem das solicitações maliciosas.
De acordo com documentos judiciais, Wang é acusado de disseminar o malware através de softwares gratuitos de Rede Privada Virtual (VPN), como MaskVPN e DewVPN, além de outros serviços pagos por instalação que são combinados com software pirata.
Estima-se que o réu gerenciava uma infraestrutura que abrangia 150 servidores em todo o mundo, sendo que 76 desses servidores foram adquiridos de provedores de serviços online com base nos Estados Unidos.
“Utilizando servidores dedicados, Wang implantou e administrou aplicativos, supervisionou e controlou os dispositivos infectados, operou o serviço 911 S5 e concedeu acesso a endereços IP proxy associados a esses dispositivos a clientes pagantes”, declarou o DoJ.
Alega-se também que o 911 S5 possibilitou a contornagem dos sistemas de detecção de fraudes financeiras por parte de criminosos, resultando no roubo de bilhões de dólares de instituições financeiras, emissores de cartões de crédito e programas federais de empréstimos, incluindo auxílio pandêmico e o programa de Empréstimo para Desastres por Lesões Econômicas (EIDL), através do envio de reivindicações fraudulentas.
Além disso, o serviço facilitou a compra de bens por parte de agressores situados fora dos EUA usando cartões de crédito roubados ou ganhos provenientes de atividades criminosas, e sua exportação ilegal para fora do país, violando as leis de exportação dos EUA.
Estima-se que Wang, por sua vez, tenha obtido cerca de US$ 99 milhões pela venda de acesso aos endereços IP proxy sequestrados, utilizando o dinheiro ilegal para adquirir quatro carros de luxo, vários relógios caros e 21 propriedades residenciais ou de investimento nos EUA, China, Singapura, Tailândia e Emirados Árabes Unidos.
Outros ativos digitais pertencentes a Wang incluem mais de uma dúzia de contas bancárias nacionais e internacionais, além de mais de 24 carteiras de criptomoedas, utilizadas para executar o esquema. Segundo a empresa de análise Blockchain Chainalysis, os endereços associados a Wang detêm US$ 136,4 milhões em criptomoedas.
A operação conjunta entre os EUA, Singapura, Tailândia e Alemanha resultou na remoção de 23 domínios e mais de 70 servidores que constituíam a infraestrutura central do 911 S5. Além disso, foram apreendidos bens avaliados em aproximadamente US$ 30 milhões.
Paralelamente às acusações contra Wang, o Escritório de Controle de Ativos Estrangeiros (OFAC) do Departamento do Tesouro dos EUA impôs sanções contra o réu, juntamente com seu co-conspirador Jingping Liu e o procurador Yanni Zheng, por suas atividades relacionadas à botnet 911 S5 e ao serviço de proxy residencial.
A agência também sancionou três entidades sediadas na Tailândia, nomeadamente a Spicy Code Company Limited, a Tulip Biz Pattaya Group Company Limited e a Lily Suites Company Limited, alegadamente propriedade ou controladas por Wang. Foi observado que a Spicy Code Company Limited foi utilizada para adquirir imóveis no país.
“O comportamento aqui descrito parece ter sido retirado de um roteiro: um esquema para vender acesso a milhões de computadores infectados por malware em todo o mundo, permitindo que criminosos roubem bilhões de dólares, ameacem com bombas e troquem materiais de exploração infantil”, afirmou Matthew S. Axelrod, do Bureau de Indústria e Segurança (BIS) do Departamento de Comércio dos EUA.
“O que os filmes não mostram é o trabalho meticuloso necessário pelas autoridades nacionais e internacionais, em estreita colaboração com parceiros da indústria, para desmantelar um esquema tão audacioso e garantir que uma prisão como essa ocorra”.
1 thought on “EUA Desmantela Maior Botnet 911 S5 do Mundo, com 19 Milhões de Dispositivos Infectados”
Comments are closed.