El Departamento de Justicia de Estados Unidos (DoJ), a través de la Operación Tunnel RAT, arrestó al presunto operador de 911 S5, un servicio de VPN/anonimato en línea de diez años de antigüedad que funcionaba con lo que el director del FBI llamó "probablemente la red de bots más grande del mundo".
El arresto coincidió con la incautación del sitio web 911 S5 y la infraestructura de soporte, que según el gobierno convirtió computadoras que ejecutaban varios productos de "VPN gratuitos" en retransmisores de tráfico de Internet que facilitaron miles de millones de dólares en fraude en línea y delitos cibernéticos.
Los servicios 911 S5 y Cloud Router utilizaron varias marcas de "VPN gratuitas" para atraer a los consumidores a instalar el servicio proxy, incluidas MaskVPN, DewVPN, PaladinVPN, Proxygate, Shield VPN y ShineVPN.
El 24 de mayo, las autoridades de Singapur arrestaron al presunto creador y operador del 911 S5, un ciudadano chino de 35 años llamado YunHe Wang. En una declaración sobre su arresto, el Departamento de Justicia dijo que esta botnet permitió a los ciberdelincuentes eludir los sistemas de detección de fraude financiero y robar miles de millones de dólares de instituciones financieras, emisores de tarjetas de crédito y programas de préstamos federales.
Por ejemplo, el gobierno estima que 560.000 solicitudes fraudulentas de seguro de desempleo se originaron en direcciones de Internet comprometidas, lo que resultó en una pérdida fraudulenta confirmada que superó los 5.900 millones de dólares.
Desde 2015 hasta julio de 2022, 911 S5 vendió acceso a cientos de miles de computadoras con Microsoft Windows diariamente, como "proxies" que permitían a los clientes enrutar su tráfico de Internet a través de PC en prácticamente cualquier país o ciudad del mundo, pero predominantemente en los Estados Unidos.
911 S5 construyó su red proxy principalmente ofreciendo servicios de redes privadas virtuales (VPN) "gratuitas". La VPN del 911 funcionó en gran medida según lo anunciado para el usuario, permitiéndole navegar por la web de forma anónima, pero también convirtió silenciosamente la computadora del usuario en un retransmisor de tráfico para los clientes que pagan del 911 S5.
La confiabilidad del 911 S5 y sus precios extremadamente bajos rápidamente lo convirtieron en uno de los servicios más populares entre los habitantes del cibercrimen clandestino, y el servicio se convirtió casi en una abreviatura para conectarse a esa "última milla" del cibercrimen. Es decir, la capacidad de enrutar el tráfico malicioso a través de una computadora que está geográficamente cerca del consumidor cuya tarjeta de crédito robada está a punto de ser utilizada, o cuya cuenta bancaria está a punto de ser vaciada.
KrebsOnSecurity identificó por primera vez al Sr. Wang como el propietario del popular servicio en un análisis publicado en julio de 2022. Esa historia mostró que el 911 S5 tenía un historial de pagar a personas para que instalaran su software empaquetándolo en secreto con otro software, incluido actualizaciones de seguridad falsas para programas comunes como Flash Player y software comercial "crackeado" o pirateado distribuido en redes de intercambio de archivos.
Diez días después, 911 S5 cerró su negocio alegando que había sido hackeado. Pero los expertos pronto siguieron el resurgimiento de la red proxy con otro nombre: Cloud Router.
El anuncio del arresto de Wang se produjo menos de 24 horas después de que el Departamento del Tesoro de Estados Unidos sancionara a Wang y a dos asociados, así como a varias empresas que los hombres supuestamente utilizaron para lavar los casi 100 millones de dólares en ganancias de los clientes de 911 S5 y Cloud Router.
La página de inicio de Cloud Router (CloudRouter[.]io) ahora presenta un aviso que dice que el gobierno ha confiscado el dominio. Además, el Departamento de Justicia dice que trabajó con autoridades de Singapur, Tailandia y Alemania para registrar residencias vinculadas al acusado y confiscó aproximadamente 30 millones de dólares en activos.
Brett Leatherman, subdirector adjunto de la División Cibernética del FBI, dijo que el Departamento de Justicia está trabajando con el gobierno de Singapur para extraditar a Wang para que enfrente cargos en Estados Unidos. Leatherman alienta a los usuarios de Internet a visitar una nueva página web del FBI que puede ayudar a las personas a determinar si sus computadoras pueden ser parte de la botnet 911 S5, que según el gobierno abarca más de 19 millones de computadoras individuales en al menos 190 países.
Fuente: KrebsOnSecurity