Una operación de aplicación de la ley internacional autorizada por un tribunal y dirigida por el Departamento de Justicia de Estados Unidos ha desbaratado una botnet utilizada para cometer ciberataques, fraude masivo, explotación infantil, acoso, amenazas de bomba y violaciones de exportaciones.
Como parte de esta operación, Wang Yunhe, de 35 años, ciudadano de la República Popular China y ciudadano inversor de Saint Kitts y Nevis, fue arrestado por cargos criminales derivados de la distribución de malware y la creación y operación de un Servicio de representación de vivienda conocido como “911 S5”. Fue arrestado el 24 de mayo por los cargos.
Según una acusación publicada el 24 de mayo, desde 2014 hasta julio de 2022, los sospechosos crearon y distribuyeron malware que comprometió redes de millones de computadoras domésticas con Windows en todo el mundo. Existe la sospecha de que se recopiló información. Estos dispositivos estaban asociados con más de 19 millones de direcciones IP únicas, incluidas 613,841 direcciones IP ubicadas en los Estados Unidos. Luego, Wang ganó millones de dólares proporcionando acceso a estas direcciones IP infectadas a ciberdelincuentes a cambio de una tarifa.
“Esta operación, dirigida por el Departamento de Justicia, reclutó a socios encargados de hacer cumplir la ley en todo el mundo para desmantelar 911 S5, una botnet que facilita ataques cibernéticos, fraude masivo, explotación infantil, acoso, amenazas de bomba y violaciones de exportaciones”, dijo el Fiscal General Merrick. B. Guirnalda. “Como resultado de esta operación, Yunhe Wang fue arrestado acusado de crear y operar una botnet y distribuir malware. Este caso muestra que el largo brazo de la ley va más allá de las fronteras y llega a las sombras más profundas de la web oscura. Lo tenemos claro. que el Departamento de Justicia nunca dejará de luchar para responsabilizar a los ciberdelincuentes”.
“El FBI trabajó con socios internacionales para llevar a cabo una operación cibernética conjunta y por etapas para desmantelar la botnet 911 S5, que posiblemente era la botnet más grande del mundo”, dijo el director del FBI, Christopher Wray. “Arrestamos a su administrador, Yunhe Wang, confiscamos infraestructura y activos e impusimos sanciones contra Wang y sus cómplices. La botnet 911 S5 infectó computadoras en casi 200 países y cometió fraude financiero, robo de identidad, explotación infantil y otros delitos informáticos. “Esta operación demuestra el compromiso del FBI de trabajar codo a codo con nuestros socios para proteger a las empresas estadounidenses y al pueblo estadounidense. Continuaremos trabajando incansablemente para exponer y arrestar a los ciberdelincuentes que se benefician de sus acciones”.
Según documentos judiciales, Wang creó programas de redes privadas virtuales (VPN) como MaskVPN y DewVPN (un modelo de distribución de torrents que operaba), así como otro software, incluido software con licencia y copias pirateadas de material protegido por derechos de autor. se propagó a través de un servicio de pago por instalación que incluía el malware con archivos de programa. Luego, el Sr. Wang administró y controló aproximadamente 150 servidores dedicados en todo el mundo, aproximadamente 76 de los cuales fueron arrendados a un proveedor de servicios en línea con sede en EE. UU. Utilizando servidores dedicados, Wang implementa y administra aplicaciones, controla y controla los dispositivos infectados, opera los servicios 911 S5 y brinda a los clientes de pago acceso a direcciones IP proxy asociadas con los dispositivos infectados Ta.
“Como se indica en la acusación, Wang creó malware que infectó millones de computadoras domésticas en todo el mundo y vendió el acceso a las computadoras infectadas a cibercriminales”, dijo la Oficina de Investigación Criminal del Departamento de Justicia, Nicole M. Argentieri. “Estos delincuentes utilizaron las computadoras secuestradas para ocultar sus identidades y cometer delitos que van desde fraude hasta acoso cibernético. Los ciberdelincuentes deben tener cuidado. El anuncio de hoy es una señal de que envía un mensaje claro de que nuestros socios están decididos a frustrar las herramientas criminales tecnológicamente más sofisticadas. y llevar a los criminales ante la justicia”.
“Yunhe Wang creó y administró un servicio de proxy residencial, una botnet conocida como 911 S5, que afectó a millones de computadoras en todo el mundo”, dijo el fiscal federal Damian M. Diggs. “Ahora tendrá que rendir cuentas. Los servicios proxy como 911 S5 son una amenaza generalizada que esconde a los delincuentes detrás de direcciones IP comprometidas en computadoras residenciales en todo el mundo. Una respuesta exitosa requiere una fuerte cooperación y excelentes esfuerzos de investigación por parte de las agencias policiales nacionales e internacionales. Haremos responsables a quienes exploten nuestra infraestructura de comunicaciones con fines delictivos, dondequiera que estén.
Luego, los ciberdelincuentes utilizaron las direcciones IP proxy compradas en el 911 S5 para ocultar su dirección IP de origen real y su ubicación y cometer diversos delitos de forma anónima. Estos delitos incluyen delitos financieros, acecho, envío de amenazas de bomba o de daño, exportación ilegal de bienes y envío y recepción de material de explotación infantil. Desde 2014, al 911 S5 se le atribuye haber permitido a los ciberdelincuentes eludir los sistemas de detección de fraude financiero y robar miles de millones de dólares de instituciones financieras, emisores de tarjetas de crédito y programas de préstamos federales.
Los clientes del 911 S5 supuestamente se dirigieron a ciertos programas de ayuda contra la pandemia. Por ejemplo, en Estados Unidos, se estima que 560.000 solicitudes fraudulentas de seguro de desempleo se originaron a partir de direcciones IP comprometidas, con pérdidas por fraude confirmadas que superan los 5.900 millones de dólares. Además, al evaluar posibles pérdidas por fraude para el programa de Préstamos por Desastre por Daños Económicos (EIDL), Estados Unidos estima que más de 47.000 solicitudes de EIDL se originaron a partir de direcciones IP comprometidas por el 911 S5. Las instituciones financieras estadounidenses también identificaron millones más como pérdidas derivadas de direcciones IP comprometidas por el 911 S5.
El software de interfaz de cliente 911 S5, que estaba alojado en servidores en los Estados Unidos, permitía a los ciberdelincuentes fuera de los Estados Unidos comprar productos con tarjetas de crédito robadas y el producto del delito, violando las leyes de exportación de los EE. UU., como las Regulaciones de Administración de Exportaciones de los EE. UU. (EAR). podría exportarse ilegalmente fuera de los Estados Unidos. La interfaz de cliente 911 S5 también puede incluir cifrado y otras funciones que están sujetas a controles de exportación como se detalla en el EAR. Por lo tanto, ciertos ciudadanos extranjeros pueden infringir la EAR si descargan el software de interfaz de cliente 911 S5 sin una licencia.
“La interdicción, incautación y arresto de los individuos responsables de la organización cibercriminal 911 S5 demuestra la actitud positiva de la Oficina de Campo Cibernético del Servicio de Investigación Criminal de Defensa (DCIS), Oficina del Inspector General del Departamento de Defensa”, dijo dice la directora del DCIS, Kelly P. Mayo. “Esta investigación demuestra la importancia de identificar y rastrear amenazas y tecnologías emergentes que apuntan a los combatientes de nuestra nación y la infraestructura industrial que los respalda. Esto demuestra la magnitud de la cooperación entre las fuerzas del orden federales y nuestros socios extranjeros en la persecución de criminales en el campo”.
La acusación alega además que entre 2018 y julio de 2022, Wang vendió direcciones IP proxy comprometidas a través de la Operación 911 S5 y recibió aproximadamente 99 millones de dólares en criptomonedas o moneda fiduciaria. Wang supuestamente utilizó las ganancias ilegales para comprar propiedades en Estados Unidos, St. Kitts y Nevis, China, Singapur, Tailandia y los Emiratos Árabes Unidos. La acusación identifica docenas de activos y propiedades que se confiscarán, incluido un Ferrari F8 Spider SA 2022, un BMW i8, un BMW X7 M50d, un Rolls-Royce, más de una docena de cuentas bancarias nacionales y extranjeras, e incluye más de 24 billeteras de criptomonedas. , varios relojes de lujo, 21 propiedades residenciales o de inversión (en Tailandia, Singapur, Emiratos Árabes Unidos, St. Kitts y Nevis, varias ubicaciones en EE. UU.) y 20 dominios.
Las fuerzas del orden se centraron inicialmente en el 911 S5 durante una investigación sobre un plan de blanqueo y contrabando de dinero. En este esquema, delincuentes en Ghana y Estados Unidos utilizaron direcciones IP secuestradas compradas en 911 S5 y tarjetas de crédito robadas para comerciar en la plataforma de comercio electrónico en línea Army Air Forces Exchange (AAFES). Se realizó un pedido fraudulento en un ShopMyExchange. Se presentaron aproximadamente 2.525 pedidos fraudulentos, valorados en 5,5 millones de dólares, pero los sistemas de detección de fraude con tarjetas de crédito y los agentes federales frustraron la mayoría de los intentos de compra, limitando las pérdidas reales a aproximadamente 254.000 dólares.
“La conducta alegada aquí es como algo sacado de un guión. Delincuentes de todo el mundo venden acceso a millones de computadoras infectadas con malware en todo el mundo y ganan miles de millones de dólares. “El plan les permitió robar a los hijos de niños y enviar amenazas de bomba. e intercambiar materiales de explotación infantil, y luego utilizó los casi 100 millones de dólares de ganancias del plan para comprar automóviles de lujo, relojes y bienes raíces”, dijo Matthew S. Axelrod, Subsecretario de Control de Exportaciones, Oficina de Industria y Seguridad (BIS), Departamento de Comercio. “Lo que la película no muestra, sin embargo, es el trabajo minucioso que requieren las agencias policiales nacionales e internacionales para trabajar estrechamente con socios de la industria para frustrar un complot tan audaz y realizar arrestos como este. Es un trabajo tedioso”.
El Sr. Wang está acusado de conspiración para fraude informático, fraude informático sustancial, conspiración para fraude electrónico y conspiración para lavado de dinero. Si es declarado culpable de todos los cargos, el Sr. Wang enfrenta hasta 65 años de prisión.
La operación fue un esfuerzo de múltiples agencias liderado por organismos encargados de hacer cumplir la ley de Estados Unidos, Singapur, Tailandia y Alemania. Los investigadores y oficiales registraron la residencia, confiscaron propiedades por valor de aproximadamente $30 millones e identificaron aproximadamente $30 millones en propiedades confiscables. La operación también confiscó 23 dominios y más de 70 servidores que formaban la columna vertebral del antiguo servicio de proxy residencial de Wang y de servicios más recientes. Al apoderarse de múltiples dominios vinculados al histórico 911 S5, así como de varios dominios y servicios nuevos directamente relacionados con la reconstrucción del servicio, el gobierno está apuntando a individuos a través del servicio recién creado Clourouter.io. Terminamos con éxito los esfuerzos de Wang para victimizar aún más. nosotros y cerró una puerta trasera maliciosa existente.
El 28 de mayo, la Oficina de Control de Activos Extranjeros (OFAC) del Departamento del Tesoro emitió una denuncia contra el Sr. Wang, el Sr. Liu Jingping, el Sr. Zheng Yan’i y tres entidades de propiedad o controladas por el Sr. Wang por actividades relacionadas al 911S5 impuso sanciones financieras.
Las oficinas locales del FBI en Dallas y Denver, la sucursal cibernética del DCIS y la oficina local de Dallas de la Oficina de Control de Exportaciones del BIS están investigando este caso.
Candy Heath y Lydia Rickreiter de la Sección de Delitos Informáticos y Propiedad Intelectual de la División Penal, y los fiscales federales adjuntos Camelia López y William Tatum del Distrito Este de Texas están procesando el caso.
El Ministerio de Justicia agradece el importante apoyo brindado por la Fiscalía General de Singapur, la Policía de Singapur (SPF), la Policía Real Tailandesa, la Fiscalía General Real de Tailandia y la Oficina Antilavado de Dinero. La Oficina de Asuntos Internacionales y la División de Lavado de Dinero y Recuperación de Activos del Departamento de Justicia brindaron un apoyo fundamental a esta operación. La OFAC del Departamento del Tesoro también apoyó la operación. Además, el Ministerio de Justicia quisiera agradecer a Chainalysis, Shadowserver Foundation y Microsoft por la asistencia brindada durante la investigación y operación.
Para obtener más información o determinar si es víctima del malware 911 S5, visite www.fbi.gov/911S5.
Una acusación es sólo una acusación. Se presume que todos los acusados son inocentes hasta que se demuestre su culpabilidad más allá de toda duda razonable en un tribunal de justicia.
Fuente: https://www.justice.gov/opa/pr/911-s5-botnet-dismantled-and-its-administrator-arrested-coordinated-international-operation