Agencias de aplicación de la ley de Estados Unidos, Alemania y Canadá coordinaron una operación para interrumpir campañas de botnets masivas. El Departamento de Justicia anunció el jueves por la noche que cuatro redes principales fueron desmanteladas por su uso en ataques de denegación de servicio distribuido. Esta acción conjunta busca neutralizar la infraestructura utilizada para sobrecargar sitios web y hacerlos inaccesibles para las víctimas.
Los botnets identificados como Aisuru, KimWolf, JackSkid y Mossad controlaban aproximadamente tres millones de dispositivos comprometidos en todo el mundo. Muchos de estos equipos son dispositivos de Internet de las cosas, como cámaras de seguridad, enrutadores y grabadoras de video. Los documentos judiciales indicaron que hubo 100,000 dispositivos afectados únicamente dentro de Estados Unidos.
Los operadores detrás de estas redes vendían acceso a los dispositivos a cibercriminales para lanzar ataques o enmascarar otras actividades ilegales. Las víctimas de los ataques DDoS perdieron 100,000 dólares en gastos de remediación o pagos de rescate. Los atacantes prometían detener la sobrecarga de los sitios web a cambio de dinero.
El Departamento de Defensa ejecutó órdenes de allanamiento para incautar múltiples dominios de Internet y servidores virtuales registrados en Estados Unidos. La Red de Información del Departamento de Defensa fue objetivo de ataques lanzados a través de estas botnets. Los fiscales detallaron que el botnet Aisuru emitió más de 200,000 comandos de ataque durante su operación.
Empresas como Cloudflare han advertido durante años sobre las amenazas que representan Aisuru y KimWolf. En informes recientes, la compañía señaló que estas redes podían desmantelar soluciones de protección contra DDoS en la nube. Las advertencias incluían la posibilidad de interrumpir la conectividad de naciones enteras si se utilizaban en gran escala.
Amazon participó en la operación junto con el FBI y el Departamento de Defensa para identificar la infraestructura de comando y control. El vicepresidente de Amazon, Tom Scholl, explicó que la empresa ayudó a ingeniería inversa del malware para entender sus operaciones. Scholl destacó que KimWolf era novedoso por dirigirse a redes de proxy residenciales protegidas por enrutadores domésticos.
Brian Krebs identificó a principios de este año al menos un presunto operador detrás de las botnets viviendo en Canadá. El Departamento de Justicia no especificó si se realizaron arrestos en conjunto con la toma de infraestructura. La operación contó con la participación de docenas de empresas tecnológicas además de las agencias gubernamentales.
Las agencias continúan apuntando a botnets con operaciones de incautación de infraestructura debido a su uso frecuente por criminales y estados-nación. Botnets como QakBot, 911 S5 y IPStorm han enfrentado escrutinio desde 2021. La semana pasada, Estados Unidos colaboró con Europol para desmantelar una plataforma que ofrecía acceso al botnet AVRecon.
Este desmantelamiento marca un esfuerzo continuo para proteger la infraestructura crítica contra amenazas cibernéticas persistentes. Los expertos sugieren que la cooperación internacional será clave para enfrentar redes distribuidas globalmente. Se espera que las autoridades mantengan la vigilancia sobre nuevas variantes de malware que surjan en el mercado oscuro.
