La policía neerlandesa ha ayudado a desmantelar una enorme operación de botnet que se cree ha infectado a aproximadamente 17 millones de dispositivos conectados a internet en todo el mundo, marcando una de las mayores interrupciones en ciberdelincuencia coordinadas por las fuerzas del orden europeas este año.
La operación se centró en infraestructuras utilizadas para controlar redes de dispositivos comprometidos que supuestamente fueron alquilados a ciberdelincuentes para ataques de denegación de servicio distribuida (DDoS), servicios proxy, campañas de robo de credenciales y otras formas de abuso en línea. Las autoridades indicaron que los sistemas infectados incluían routers, cámaras web, grabadoras digitales y otros dispositivos conectados a internet vulnerables a la toma de control por ajustes de seguridad débiles o software obsoleto.
According to investigators , los operadores de botnet construyeron una gran red de dispositivos secuestrados que podían ser controlados remotamente sin el conocimiento de sus propietarios. Una vez infectados, se informó que los sistemas se usaban para ocultar actividades delictivas, enrutar tráfico malicioso y lanzar ataques contra organizaciones de todo el mundo.
La Policía Nacional Neerlandesa trabajó junto a socios internacionales como parte del esfuerzo de desactivación, que consistió en identificar infraestructuras de mando y control, confiscar servidores y interrumpir los canales de comunicación utilizados por los operadores de botnet. Las autoridades informaron que varios sistemas conectados a la operación fueron desconectados durante la acción coordinada.
Los investigadores creen que partes de la red también se utilizaron como servicio proxy residencial. En estos esquemas, los ciberdelincuentes enrutan el tráfico de internet a través de dispositivos de consumo infectados, haciendo que la actividad maliciosa parezca originarse en conexiones legítimas de internet domésticas en lugar de infraestructuras criminales.
Las agencias policiales dijeron que la botnet estaba vinculada a operaciones de cibercrimen como servicio, permitiendo a los clientes pagar por el acceso a dispositivos infectados y capacidades de ataque sin desarrollar su propia infraestructura de malware. Servicios similares se utilizan frecuentemente en campañas DDoS, ataques de relleno de credenciales, operaciones de fraude y servicios de anonimato para otros grupos ciberdelincuentes.
Las autoridades no han revelado la identidad de todos los sospechosos relacionados con la operación. Sin embargo, los investigadores confirmaron que durante registros se incautaron pruebas vinculadas a personas que se cree estaban implicadas en la gestión de partes de la infraestructura botnet.
La interrupción sigue a una serie de recientes operaciones internacionales dirigidas a grandes botnets y redes proxy que explotan dispositivos de internet de las cosas mal protegidos. Las agencias de seguridad se han centrado cada vez más en estas redes porque pueden permanecer activas durante años mientras abusan silenciosamente del hardware de consumo a gran escala.
Las autoridades holandesas afirmaron que el análisis forense de los sistemas incautados continúa y podría provocar más detenciones mientras los investigadores continúan rastreando la infraestructura y la actividad financiera vinculada a la operación.