Agencias policiales estadounidenses y canadienses arrestaron y acusaron recientemente a un hombre canadiense sospechoso de operar la botnet distribuida de denegación de servicio (DDoS) "KimWolf", que infectó casi dos millones de dispositivos en todo el mundo.
Según la acusación penal pública, el canadiense Jacob Butler, de 23 años, conocido en línea como "Dort", fue arrestado por las autoridades policiales locales en Ottawa, Canadá, el miércoles por una orden de extradición de Estados Unidos. Una denuncia penal revelada por la Fiscalía Federal para el Distrito de Alaska el jueves afirmó que los investigadores vincularon a Butler con las actividades operativas de la botnet "KimWolf" a través de direcciones IP e información de cuentas en línea, registros de transacciones relacionadas y registros de comunicación de red.
Los fiscales han acusado a Butler de complicidad en intrusiones informáticas y actualmente enfrenta un cargo relacionado que podría resultar en una sentencia máxima de 10 años de prisión. Posteriormente será extraditado a Estados Unidos para ser juzgado. Según el expediente del caso, "KimWolf" operaba como un servicio "proxy DDoS" de pago y era utilizado por los ciberdelincuentes para lanzar ataques de denegación de servicio de alta intensidad. Parte del tráfico de ataques alguna vez se acercó a los 30 terabits por segundo, lo que lo convirtió en uno de los ataques DDoS más grandes divulgados públicamente en ese momento.
La investigación reveló que Butler adoptó un modelo de "crimen cibernético como servicio", vendiendo la red "broiler" a gran escala que controlaba a otros por visualización o suscripción para usarla en el lanzamiento de ataques. Estos dispositivos controlados van desde marcos de fotos digitales y cámaras web hasta cajas de TV basadas en Android y dispositivos de reproducción de medios en streaming.
Según los informes, la botnet "KimWolf" se ha utilizado para lanzar más de 25.000 ataques en todo el mundo, dirigidos a varios ordenadores y servidores, incluidas direcciones IP relacionadas con la Red de Información del Departamento de Defensa de Estados Unidos (DoDIN). Se alega que, como resultado, algunas instituciones víctimas sufrieron pérdidas financieras de más de 1 millón de dólares.
La empresa de ciberseguridad Synthient ha estado siguiendo la expansión de "KimWolf" y publicó un informe en enero de este año afirmando que la botnet se expandió rápidamente a casi 2 millones de dispositivos infectados después de explotar las vulnerabilidades de la red proxy residencial para atacar dispositivos Android. Los investigadores también afirmaron que "KimWolf" puede generar aproximadamente 12 millones de direcciones IP únicas cada semana, lo que se utiliza para ocultar la verdadera fuente de los ataques y mejorar la resistencia a los ataques.
Al mismo tiempo, el Tribunal Federal de Estados Unidos para el Distrito Central de California también reveló múltiples órdenes de incautación e implementó incautaciones de nombres de dominio e infraestructura contra 45 plataformas que brindan servicios de proxy DDoS, lo que afectó a varias plataformas que tienen relaciones de cooperación con "KimWolf". El Departamento de Justicia de EE. UU. declaró que las agencias encargadas de hacer cumplir la ley se han apoderado de registros de nombres de dominio relacionados con estos servicios y han redirigido solicitudes de acceso a páginas de advertencia oficiales para recordar al público que los servicios proxy DDoS son ilegales.
El arresto de Butler es otro acontecimiento clave tras una operación transnacional de aplicación de la ley en marzo de este año. En esa operación, Estados Unidos, Alemania y Canadá trabajaron juntos para apoderarse y cortar la infraestructura de mando y control de "KimWolf" y tres botnets relacionados: "Aisuru", "JackSkid" y "Mossad". En conjunto, estas cuatro botnets infectaron más de 3 millones de dispositivos IoT.
El Departamento de Justicia reveló en ese momento que un gran número de "broilers" de estas botnets incluían cámaras web, grabadoras de vídeo digitales y enrutadores Wi-Fi, y un número considerable de ellos estaban ubicados en los Estados Unidos. Los organismos encargados de hacer cumplir la ley enfatizaron que continuarán trabajando con socios internacionales para atacar y destruir esa infraestructura maliciosa a gran escala y, al mismo tiempo, responsabilizar penalmente a quienes están detrás de escena.