Botnet infectó más de 19 millones de direcciones IP para permitir miles de millones de dólares en fraude pandémico y de desempleo, y acceso a materiales de explotación infantil.
Una operación de aplicación de la ley internacional autorizada por un tribunal y dirigida por el Departamento de Justicia de Estados Unidos desbarató una botnet utilizada para cometer ataques cibernéticos, fraude a gran escala, explotación infantil, acoso, amenazas de bomba y violaciones de exportaciones.
Como parte de esta operación, YunHe Wang, de 35 años, ciudadano de la República Popular China y ciudadano por San Cristóbal y Nieves,inversión, fue arrestado el 24 de mayo por cargos penales derivados de su implementación de malware y la creación y operación de un servicio de proxy residencial conocido como “911 S5”.
Según una acusación revelada el 24 de mayo, desde 2014 hasta julio de 2022, Se alega que Wang y otros crearon y difundieron malware para comprometer y acumular una red de millones de computadoras residenciales con Windows en todo el mundo. Estos dispositivos estaban asociados con más de 19 millones de direcciones IP únicas, incluidas 613,841 direcciones IP ubicadas en los Estados Unidos.
Luego, Wang generó millones de dólares ofreciendo a los ciberdelincuentes acceso a estas direcciones IP infectadas por una tarifa.
“Esta operación dirigida por el Departamento de Justicia reunió a socios encargados de hacer cumplir la ley de todo el mundo para desmantelar el 911 S5, una botnet que facilitó ataques cibernéticos, fraude a gran escala, explotación infantil, acoso, amenazas de bomba, y violaciones de exportaciones”, dijo el Fiscal General Merrick B. Garland. “Como resultado de esta operación, YunHe Wang fue arrestado bajo cargos de haber creado y operado la botnet y desplegado malware.
Este caso deja claro que el largo brazo de la ley se extiende a través de fronteras y hasta las sombras más profundas de la red oscura, y el Departamento de Justicia nunca dejará de luchar para que los ciberdelincuentes rindan cuentas”.
“En colaboración con nuestros socios internacionales, el FBI llevó a cabo una operación cibernética conjunta y secuenciada para desmantelar la botnet 911 S5, probablemente la botnet más grande del mundo jamás”, dijo el director del FBI, Christopher Wray.
“Arrestamos a su administrador, Yunhe Wang,se apoderó de infraestructura y activos e impuso sanciones contra Wang y sus cómplices. El botnet 911 S5 infectó computadoras en casi 200 países y facilitó una gran cantidad de delitos informáticos, incluidos fraudes financieros, robo de identidad y explotación infantil. Esta operación demuestra el compromiso del FBI de trabajar hombro con hombro.
Trabajaremos codo a codo con nuestros socios para proteger a las empresas estadounidenses y al pueblo estadounidense, y trabajaremos incansablemente para desenmascarar y arrestar a los ciberdelincuentes que se benefician de esta actividad ilegal”.
Según documentos judiciales, Wang supuestamente propagó su malware a través de programas de red privada virtual (VPN).
como MaskVPN y DewVPN (modelos de distribución de torrents que operaba) y servicios de pago por instalación que agrupaban su malware con otros archivos de programa, incluidas versiones pirateadas de software con licencia o materiales protegidos por derechos de autor.
Luego, Wang administró y controló aproximadamente 150 servidores dedicados en todo el mundo.
aproximadamente 76 de los cuales los alquiló a proveedores de servicios en línea con sede en EE. UU.
Utilizando los servidores dedicados, Wang implementó y administró aplicaciones, ordenó y controló los dispositivos infectados, operó su servicio 911 S5 y proporcionó a los clientes de pago acceso a direcciones IP proxy asociadas con los dispositivos infectados. “Como se alega en la acusación, Wang creó malware que comprometió millones de computadoras residenciales en todo el mundo y luego vendió el acceso a las computadoras infectadas a ciberdelincuentes”, dijo la Fiscal General Adjunta Principal Nicole M. Argentieri, jefa de la División Penal del Departamento de Justicia.
“Estos delincuentes utilizaron las computadoras secuestradas para ocultar sus identidades y cometer una serie de delitos, desde fraude hasta acoso cibernético. Los ciberdelincuentes deberían tomar nota.
El anuncio de hoy envía un mensaje claro de que la División Penal y sus socios encargados de hacer cumplir la ley están firmes en su determinación de alterar las herramientas criminales tecnológicamente más sofisticadas y hacer que los malhechores rindan cuentas”. “YunHe Wang creó y administró un servicio de proxy residencial, una botnet conocida como 911 S5, que afectó a millones de computadoras en todo el mundo”, dijo el Fiscal Federal Damien M. Diggs para el Distrito Este de Texas. “Ahora tendrá que rendir cuentas.
Los servicios proxy como 911 S5 son amenazas generalizadas que protegen a los delincuentes detrás de las direcciones IP comprometidas de computadoras residenciales en todo el mundo. Abordar con éxito un problema de esta escala sólo es posible con una fuerte colaboración y un trabajo de investigación excepcional entre nuestros socios encargados de hacer cumplir la ley en el país y en el extranjero.y estamos dispuestos a responsabilizar a cualquiera, sin importar dónde se encuentre, que explote nuestra infraestructura de telecomunicaciones para sus propios fines delictivos”.
Luego, los ciberdelincuentes utilizaron direcciones IP proxy compradas al 911 S5 para ocultar sus verdaderas direcciones IP y ubicaciones de origen, y cometer de forma anónima una amplia gama de delitos.
stos delitos incluyen delitos financieros, acecho, transmisión de amenazas de bomba y amenazas de daño, exportación ilegal de bienes y recepción y envío de materiales de explotación infantil. Desde 2014, el 911 S5 supuestamente permitió a los ciberdelincuentes eludir los sistemas de detección de fraude financiero y robar miles de millones de dólares de instituciones financieras.emisores de tarjetas de crédito y programas de préstamos federales.
Los clientes del 911 S5 supuestamente se dirigieron a ciertos programas de ayuda contra la pandemia. Por ejemplo, Estados Unidos estima que 560.000 solicitudes fraudulentas de seguro de desempleo se originaron a partir de direcciones IPcomprometidas, lo que resultó en una pérdida fraudulenta confirmada que superó los 5.900 millones de dólares.
Además, al evaluar las pérdidas por sospecha de fraude en el programa de Préstamos por Desastre por Daños Económicos (EIDL), Estados Unidos estima que más de 47.000 solicitudes de EIDL se originaron a partir de direcciones IP comprometidas por el 911 S5.
Millones de dólares más fueron identificados de manera similar por instituciones financieras en los Estados Unidos como pérdidas originadas por direcciones IP comprometidas por el 911 S5.
El software de interfaz de cliente 911 S5, que estaba alojado en servidores con sede en EE. UU.,permitió a los ciberdelincuentes ubicados fuera de los Estados Unidos comprar bienes con tarjetas de crédito robadas o ganancias obtenidas de manera criminal, y exportarlos ilegalmente fuera de los Estados Unidos, en contravención de las leyes de exportación de los EE. UU., como las Regulaciones de Administración de Exportaciones (EAR).
La interfaz del cliente 911 S5 también puede contener cifrado u otras características que la sometan a controles de exportación detallados en el EAR. En consecuencia, las descargas del software de interfaz de cliente 911 S5 por parte de ciertos ciudadanos extranjeros sin una licencia pueden constituir violaciones de la EAR.
“La interrupción, la incautación, y el arresto de los perpetradores responsables de la empresa cibercriminal 911 S5 demuestra la postura progresista de la Oficina de Campo Cibernético del Servicio de Investigación Criminal de Defensa (DCIS) de la Oficina del Inspector General de Defensa”, dijo la directora de DCIS, Kelly P. Mayo.
“Esta investigación muestra la importancia crítica de identificar y perseguir amenazas y tecnologías emergentes dirigidas a nuestros combatientes y a la base industrial que los respalda.
El anuncio de hoy ilustra la magnitud de la cooperación entre las autoridades federales y nuestros socios extranjeros que persiguen a los delincuentes en el campo del cibercrimen en rápida evolución”.
La acusación alega además que desde 2018 hasta julio de 2022,
Wang recibió aproximadamente 99 millones de dólares por las ventas de las direcciones IP proxy secuestradas a través de su operación 911 S5, ya sea en criptomonedas o moneda fiduciaria. Wang utilizó las ganancias obtenidas ilícitamente para comprar bienes inmuebles en los Estados Unidos, St. Kitts y Nevis, China, Singapur, Tailandia y los Emiratos Árabes Unidos.
La acusación identifica docenas de activos y propiedades sujetos a decomiso, incluido un Ferrari F8 Spider S-A 2022, un BMW i8, un BMW X7 M50d, un Rolls Royce, más de una docena de cuentas bancarias nacionales e internacionales, más de dos docenas de billeteras de criptomonedas, varios relojes de pulsera de lujo, 21 propiedades residenciales o de inversión (en toda Tailandia,
Singapur, Emiratos Árabes Unidos, St. Kitts y Nevis y Estados Unidos) y 20 dominios.
Las fuerzas del orden se centraron inicialmente en el 911 S5 durante una investigación de un plan de lavado y contrabando de dinero, donde actores criminales en Ghana y Estados Unidos utilizaron direcciones IP secuestradas compradas al 911 S5 para realizar pedidos fraudulentos utilizando tarjetas de crédito robadas en la plataforma de comercio electrónico en línea del Servicio de Intercambio del Ejército y la Fuerza Aérea (AAFES), conocida como ShopMyExchange.
Aunque se presentaron aproximadamente 2.525 pedidos fraudulentos valorados en 5,5 millones de dólares,
Los sistemas de detección de fraude con tarjetas de crédito y los investigadores federales pudieron frustrar la mayor parte de los intentos de compra, reduciendo la pérdida real a aproximadamente $254,000.
“La conducta alegada aquí parece sacada de un guión: un plan para vender acceso a millones de computadoras infectadas con malware en todo el mundo.permitiendo a delincuentes de todo el mundo robar miles de millones de dólares, transmitir amenazas de bomba e intercambiar materiales de explotación infantil, y luego utilizar los casi 100 millones de dólares en ganancias del plan para comprar automóviles, relojes y bienes raíces de lujo”, dijo el Subsecretario de Control de Exportaciones, Matthew S. Axelrod de EE.UU. Oficina de Industria y Seguridad (BIS) del Departamento de Comercio.
“Sin embargo, lo que no muestran en las películas es el minucioso trabajo que requiere la aplicación de la ley nacional e internacional, en estrecha colaboración con socios de la industria, para desmantelar un plan tan descarado y lograr un arresto como este”. Wang está acusado de conspiración para cometer fraude informático, fraude informático sustancial, conspiración para cometer fraude electrónico y conspiración para cometer lavado de dinero. Si es declarado culpable por todos los cargos, Wang enfrenta una pena máxima de 65 años de prisión.
Esta operación fue un esfuerzo coordinado de varias agencias liderado por las fuerzas del orden en los Estados Unidos, Singapur,
Tailandia y Alemania. Agentes y oficiales registraron residencias, confiscaron activos valorados en aproximadamente $30 millones e identificaron propiedades confiscables adicionales valoradas en aproximadamente $30 millones.
La operación también confiscó 23 dominios y más de 70 servidores que constituyen la columna vertebral del anterior servicio de proxy residencial de Wang y de la reciente encarnación del servicio. Al apoderarse de múltiples dominios vinculados al histórico 911 S5, así como de varios dominios y servicios nuevos directamente vinculados a un esfuerzo por reconstituir el servicio,
El gobierno puso fin con éxito a los esfuerzos de Wang por victimizar aún más a las personas a través de su recién creado servicio Clourouter.io y cerró las puertas traseras maliciosas existentes.
El 28 de mayo, la Oficina de Control de Activos Extranjeros (OFAC) del Departamento del Tesoro emitió sanciones financieras contra Wang, Jingping Liu y Yanni Zheng.por sus actividades asociadas con el 911 S5, y tres entidades por ser propiedad de Wang o estar controladas por él.
Las oficinas de campo del FBI en Dallas y Denver, la oficina de campo cibernética del DCIS y la oficina de campo de Dallas de la Oficina de Control de Exportaciones del BIS están investigando el caso.
Las abogadas litigantes Candy Heath y Lydia Lichlyter de la Sección de Delitos Informáticos y Propiedad Intelectual de la División Penal y los fiscales federales adjuntos Camelia López y William Tatum para el Distrito Este de Texas están procesando el caso.
El Departamento agradece la importante asistencia brindada por el Fiscal-Cámaras Generales de Singapur, Fuerza de Policía de Singapur (SPF), Policía Real Tailandesa y la Oficina del Fiscal General y la Oficina Antilavado de Dinero del Reino de Tailandia. La Oficina de Asuntos Internacionales y la Sección de Lavado de Dinero y Recuperación de Activos del Departamento de Justicia brindaron un apoyo crucial a esta operación.
La OFAC del Departamento del Tesoro también brindó apoyo a esta operación. Además, el Departamento ofrece su agradecimiento a Chainalysis, Shadowserver Foundation y Microsoft por la asistencia brindada por cada uno durante la investigación y la operación.
Para obtener más información o determinar si es víctima del malware 911 S5,
visite www.fbi.gov/911S5.
