Na última quinta-feira, o Departamento de Justiça dos EUA (DoJ) divulgou que derrubou a infraestrutura associada a um botnet russo conhecido como RSOCKS. A ação foi realizada em colaboração com parceiros policiais na Alemanha, Holanda e Reino Unido e rendeu o encerramento do botnet.
Acredita-se que a botnet, operada por uma sofisticada organização de crimes cibernéticos, tenha atacado milhões de dispositivos conectados à Internet, incluindo dispositivos da Internet das Coisas (IoT), telefones Android e computadores para uso como serviço de proxy.
Botnet RSOCKS
Os botnets são redes de dispositivos de computador sequestrados que estão sob o controle de uma única parte atacante e são usados para facilitar uma variedade de intrusões cibernéticas em larga escala, como ataques distribuídos de negação de serviço (DDoS), e-mail spam e criptojacking.
“O botnet RSOCKS ofereceu a seus clientes acesso a endereços IP atribuídos a dispositivos que foram invadidos”, disse o DoJ em um comunicado à imprensa. “Os proprietários desses dispositivos não deram autoridade aos operadores do RSOCKS para acessar seus dispositivos para usar seus endereços IP e rotear o tráfego da Internet”.
De acordo com as informações, além de empresas domésticas e indivíduos, várias grandes entidades públicas e privadas, incluindo uma universidade, um hotel, um estúdio de televisão e um fabricante de eletrônicos, foram vítimas da botnet até o momento, disseram os promotores.
Os clientes que desejam aproveitar os proxies do RSOCKS podem alugar o acesso por meio de uma vitrine na web por diferentes períodos de tempo a vários preços, variando de US$ 30 (aprox. R$ 150,00) por dia para acesso a 2.000 proxies a US$ 200 (aprox. R$ 1.026,00) por dia para acesso a 90.000 proxies.
Uma vez adquiridos, os criminosos poderiam redirecionar o tráfego malicioso da Internet por meio dos endereços IP associados aos dispositivos das vítimas comprometidas para ocultar sua verdadeira intenção, que era realizar ataques de preenchimento de credenciais, acessar contas de mídia social comprometidas e enviar mensagens de phishing.
Ação para contenção dessa ameaça
A ação que conseguiu encerrar as operações do botnet é o culminar de uma operação secreta montada pelo Federal Bureau of Investigation (FBI) no início de 2017, quando fez compras secretas do RSOCKS para mapear sua infraestrutura e suas vítimas, permitindo determinar cerca de 325.000 dispositivos infectados.
De acordo com o Departamento de Justiça Americano, “Através da análise dos dispositivos das vítimas, os investigadores determinaram que o botnet RSOCKS comprometeu o dispositivo da vítima ao realizar ataques de força bruta”. Segundo eles, “Os servidores backend RSOCKS mantiveram uma conexão persistente com o dispositivo comprometido.”
A interrupção do RSOCKS aconteceu menos de duas semanas depois de ter apreendido um mercado online ilícito conhecido como SSNDOB por traficar informações pessoais, como nomes, datas de nascimento, números de cartão de crédito e números de seguro social de cerca de 24 milhões de indivíduos nos EUA.