A polícia holandesa ajudou a desmantelar uma enorme operação de botnet que se acredita ter infectado cerca de 17 milhões de dispositivos conectados à internet ao redor do mundo, marcando uma das maiores interrupções em crimes cibernéticos coordenadas pelas autoridades europeias neste ano.
A operação tinha como alvo infraestrutura usada para controlar redes de dispositivos comprometidos que supostamente foram alugados para cibercriminosos para ataques distribuídos de negação de serviço (DDoS), serviços proxy, campanhas de roubo de credenciais e outras formas de abuso online. As autoridades disseram que os sistemas infectados incluíam roteadores, webcams, gravadores de vídeo digitais e outros dispositivos conectados à internet vulneráveis à tomada por meio de configurações de segurança fracas ou software desatualizado.
According to investigators , os operadores de botnet construíram uma grande rede de dispositivos sequestrados que podiam ser controlados remotamente sem o conhecimento de seus donos. Uma vez infectados, os sistemas teriam sido usados para ocultar atividades criminosas, direcionar tráfego malicioso e lançar ataques contra organizações ao redor do mundo.
A Polícia Nacional Holandesa trabalhou ao lado de parceiros internacionais como parte do esforço de desmantelamento, que envolveu identificar infraestrutura de comando e controle, apreender servidores e interromper os canais de comunicação usados pelos operadores de botnet. Autoridades disseram que vários sistemas conectados à operação foram desativados durante a ação coordenada.
Pesquisadores acreditam que partes da rede também foram usadas como um serviço de proxy residencial. Nesses esquemas, cibercriminosos direcionam o tráfego da internet por dispositivos de consumo infectados, fazendo com que atividades maliciosas pareçam ter origem em conexões legítimas de internet domésticas, e não de infraestrutura criminosa.
Agências de aplicação da lei disseram que o botnet estava ligado a operações de cibercrime como serviço, permitindo que os clientes pagassem pelo acesso a dispositivos infectados e capacidades de ataque sem desenvolver sua própria infraestrutura de malware. Serviços semelhantes são frequentemente usados em campanhas DDoS, ataques de credencial stuffing, operações de fraude e serviços de anonimato para outros grupos cibercriminosos.
As autoridades não divulgaram a identidade de todos os suspeitos ligados à operação. No entanto, os investigadores confirmaram que evidências foram apreendidas durante buscas ligadas a indivíduos que se acredita estarem envolvidos na gestão de partes da infraestrutura do botnet.
A interrupção ocorre após uma série de operações internacionais recentes que visam grandes botnets e redes proxy que exploram dispositivos de internet das coisas mal protegidos. As agências de segurança têm focado cada vez mais nessas redes porque elas podem permanecer ativas por anos enquanto abusam silenciosamente do hardware de consumo em grande escala.
As autoridades holandesas disseram que a análise forense dos sistemas apreendidos está em andamento e pode levar a prisões adicionais enquanto os investigadores continuam rastreando a infraestrutura e a atividade financeira vinculada à operação.