O Departamento de Justiça dos Estados Unidos (DoJ) anunciou na quarta-feira que desmantelou o que descreveu como “provavelmente o maior botnet do mundo”, que consistia em um exército de 19 milhões de dispositivos infectados que eram alugados a outros atores ameaçadores para cometer uma ampla variedade de crimes.

O botnet, que tem alcance global abrangendo mais de 190 países, funcionava como um serviço proxy residencial conhecido como 911 S5. Um cidadão chinês de 35 anos, YunHe Wang, foi preso em Cingapura em 24 de maio de 2024, por criar e atuar como o principal administrador da plataforma ilegal de 2014 a julho de 2022.

Wang foi acusado de conspiração para cometer fraude de computador, fraude de computador substantiva, conspiração para cometer fraude eletrônica e conspiração para cometer lavagem de dinheiro. Se condenado em todas as acusações, Wang enfrenta uma pena máxima de 65 anos de prisão.

O Departamento de Justiça afirmou que o botnet foi usado para realizar ataques cibernéticos, fraudes financeiras, roubo de identidade, exploração infantil, assédio, ameaças de bombas e violações de exportação.

Vale ressaltar que Wang foi identificado como o proprietário do 911 S5 pelo jornalista de segurança Brian Krebs em julho de 2022, após o que o serviço foi encerrado abruptamente em 28 de julho de 2022, citando uma violação de dados de seus principais componentes.

Embora tenha sido ressuscitado sob um nome de marca diferente chamado CloudRouter alguns meses depois, de acordo com Spur, o serviço cessou suas operações no último final de semana, disse o co-fundador da empresa de cibersegurança Riley Kilmer a Krebs.

“É alegado que Wang e outros criaram e disseminaram malware para comprometer e reunir uma rede de milhões de computadores residenciais com Windows em todo o mundo”, segundo uma acusação selada.

“Esses dispositivos estavam associados a mais de 19 milhões de endereços IP exclusivos, incluindo 613.841 endereços IP localizados nos Estados Unidos. Wang então gerou milhões de dólares oferecendo a criminosos cibernéticos acesso a esses endereços IP infectados por uma taxa.”

Procurações de Wang alegam que ele teria propagado o malware por meio de programas gratuitos de Rede Privada Virtual (VPN), como MaskVPN e DewVPN, além de outros serviços de pagamento por instalação que o incluíam em software pirata.

Estima-se que o réu tenha gerenciado uma infraestrutura composta por 150 servidores em todo o mundo, 76 dos quais foram obtidos a partir de provedores de serviços online baseados nos EUA.

“Usando os servidores dedicados, Wang implantou e gerenciou aplicativos, comandou e controlou os dispositivos infectados, operou seu serviço 911 S5 e forneceu aos clientes pagantes acesso a endereços IP proxy associados aos dispositivos infectados”, afirmou o DoJ.

Também é alegado que o 911 S5 permitiu que atores criminosos burlassem os sistemas de detecção de fraudes financeiras e roubassem bilhões de dólares de instituições financeiras, emissores de cartões de crédito e programas de empréstimos federais, incluindo alívio pandêmico e o programa de Empréstimo por Desastre de Lesões Econômicas (EIDL), enviando reivindicações fraudulentas que originavam de endereços IP comprometidos.

Além disso, o serviço permitiu que atacantes que residem fora dos EUA comprem bens com cartões de crédito roubados ou proventos criminosos, e os exportem ilegalmente para fora do país, em violação das leis de exportação dos EUA.

Por sua vez, estima-se que Wang tenha recebido aproximadamente US$ 99 milhões vendendo acesso aos endereços IP proxy sequestrados, usando o dinheiro ilícito para comprar quatro carros de luxo, diversos relógios de pulso caros e 21 propriedades residenciais ou de investimento nos EUA, China, Cingapura, Tailândia e Emirados Árabes Unidos.

Outros ativos digitais pertencentes a Wang incluem mais de uma dúzia de contas bancárias domésticas e internacionais e mais de 24 carteiras de criptomoeda, que foram usadas para realizar o esquema. A empresa de análise blockchain Chainalysis revelou que os endereços associados a Wang detêm US$ 136,4 milhões em criptomoedas.

A operação conjunta, fruto de um esforço coordenado entre EUA, Cingapura, Tailândia e Alemanha, resultou na interrupção de 23 domínios e mais de 70 servidores que constituem a base do 911 S5. O esforço também resultou na apreensão de ativos no valor aproximado de US$ 30 milhões.

Paralelamente à acusação de Wang, o Escritório de Controle de Ativos Estrangeiros do Departamento do Tesouro impôs sanções ao réu, juntamente com seu co-conspirador Jingping Liu e a procuradora Yanni Zheng, por suas atividades associadas ao botnet 911 S5 e ao serviço proxy residencial.

A agência também sancionou três entidades sediadas na Tailândia, a saber, a Spicy Code Company Limited, a Tulip Biz Pattaya Group Company Limited e a Lily Suites Company Limited, que seriam de propriedade ou controladas por Wang, observando que a Spicy Code Company Limited foi usada para comprar imóveis no país.

“O comportamento alegado aqui parece saído de um roteiro de filme: um esquema para vender acesso a milhões de computadores infectados por malware em todo o mundo, permitindo a criminosos de todo o mundo roubar bilhões de dólares, transmitir ameaças de bomba e trocar materiais de exploração infantil”, disse Matthew S. Axelrod, do Bureau de Indústria e Segurança do Departamento de Comércio dos EUA.

“O que não mostram nos filmes, no entanto, é o trabalho árduo que envolve as forças policiais nacionais e internacionais, trabalhando em estreita colaboração com parceiros da indústria, para derrubar um esquema tão ousado e efetuar uma prisão como esta.”

Achou interessante este artigo? Siga-nos no Twitter e LinkedIn para ler mais conteúdos exclusivos que postamos.