La botnet rusa RSocks interrumpida después de hackear millones de dispositivos

El Departamento de Justicia de EE. UU. ha anunciado la interrupción de la red de bots de malware rusa RSocks utilizada para secuestrar millones de computadoras, teléfonos inteligentes Android y dispositivos IoT (Internet de las cosas) en todo el mundo para usarlos como servidores proxy.

La operación policial involucró al FBI ya las fuerzas policiales en Alemania, los Países Bajos y el Reino Unido, donde la botnet mantuvo partes de su infraestructura.

Una botnet es un enjambre de dispositivos que los actores de amenazas pueden controlar de forma remota para realizar diversos comportamientos, incluidos ataques DDoS, criptominería e implementación de malware adicional.

En el caso de RSocks, la red de bots se usó para convertir computadoras residenciales en servidores proxy, lo que permitió a los clientes de la red de bots usarlas para actividades maliciosas o aparecer como provenientes de una dirección IP residencial.

Los escenarios típicos de casos de uso para estos servicios incluyen operaciones de phishing, relleno de credenciales, intentos de apropiación de cuentas, etc. Además, el uso de un servicio de proxy hace que sea más difícil para las fuerzas del orden rastrear a los actores de amenazas, especialmente cuando esas direcciones IP pertenecen a personas que no saben sus dispositivos fueron secuestrados.

RSocks también se promocionó para su uso por parte de los bots de compras, como los bots de zapatillas, que se benefician del uso de direcciones IP residenciales, que generalmente no están prohibidas en los minoristas en línea.

Una investigación encubierta

Los agentes del FBI comenzaron a mapear la infraestructura de RSocks en una operación encubierta en la que compraron para acceder a una gran cantidad de proxies en 2017.

Según el Departamento de Justicia de los Estados Unidos, el costo de acceder a los grupos de servidores proxy de RSocks osciló entre $30 por día para 2000 servidores proxy y $200 por día para 90 000 servidores proxy.

En ese momento, los investigadores identificaron 325 000 dispositivos comprometidos, muchos ubicados en los Estados Unidos. RSocks presuntamente comprometió estos dispositivos mediante la fuerza bruta de sus contraseñas e instalando software en las computadoras violadas para convertirlas en servidores proxy.

"Varias grandes entidades públicas y privadas han sido víctimas de la botnet RSocks, incluida una universidad, un hotel, un estudio de televisión y un fabricante de productos electrónicos, así como empresas domésticas e individuos", explica  el anuncio del Departamento de Justicia .

"En tres de las ubicaciones de las víctimas, con consentimiento, los investigadores reemplazaron los dispositivos comprometidos con computadoras controladas por el gobierno (es decir, honeypots), y los tres fueron posteriormente comprometidos por RSocks".

rsocks-home-page

Si bien la operación RSocks se ha visto gravemente interrumpida como resultado de esta operación policial internacional, esta vez no se han anunciado arrestos.

Amenaza de botnet

Las botnets son una amenaza constante que cambia de forma para los dispositivos mal protegidos, como los enrutadores y otros dispositivos IoT "inteligentes" conectados a Internet que a menudo se descuidan y se dejan funcionar sin supervisión durante períodos prolongados.

Para proteger los dispositivos IoT, los propietarios siempre deben cambiar la contraseña de administrador predeterminada por una más fuerte que sea difícil de forzar, aplicar las últimas actualizaciones de firmware disponibles y configurar una red separada para IoT, que está aislada de los dispositivos críticos.

Fuente: Bleepingcomputer.
Comments are closed.

Este sitio web utiliza cookies para que usted tenga la mejor experiencia de usuario. Si continúa navegando está dando su consentimiento para la aceptación de las mencionadas cookies y la aceptación de nuestra política de cookies, pinche el enlace para mayor información.

ACEPTAR
Aviso de cookies