Il Dipartimento di Giustizia degli Stati Uniti e le forze dell’ordine di Germania, Olanda e Regno Unito hanno smantellato la botnet russa RSocks, usata per colpire milioni di computer, smartphone Android e dispositivi IoT (Internet of Things) in tutto il mondo. L’accesso alla botnet veniva offerto in abbonamento con prezzi compresi tra 30 e 200 dollari al giorno. Per bloccare eventuali attacchi è consigliata l’installazione di adeguate protezioni, come quelle garantite da McAfee Total Protection.
Botnet RSocks fuori uso, ma nessun arresto
La botnet RSocks era formata inizialmente da dispositivi IoT, tra cui router e sistemi di controllo industriale connessi ad Internet. Successivamente è stata estesa con smartphone Android e computer, ognuno dei quali diventava un server proxy con uno specifico indirizzo IP. Attraverso un sito web, i gestori della botnet vendevano gli accessi ad un gruppo di dispositivi (pool) per un determinato periodo di tempo (giorni, settimane o mesi). I prezzi variavano tra 30 dollari/mese per 2.000 proxy a 200 dollari/mese per 90.000 proxy.
L’accesso iniziale ai dispositivi delle ignare vittime è stato effettuato tramite attacchi “brute force” che permettono di scoprire le password (spesso gli utenti lasciano quelle predefinite) e successivamente di installare il software che trasforma il dispositivo in server proxy. Gli investigatori hanno scoperto circa 325.000 dispositivi compromessi.
Gli abbonati al servizio offerto dai cybercriminali russi hanno usato i dispositivi per effettuare attacchi contro servizi di autenticazione (credential stuffing) e invio di email di phishing. Dato che il traffico di rete proviene da indirizzi IP residenziali, le botnet non sono semplici da individuare. RSocks è stata smantellata dopo aver sostituito alcuni dispositivi di utenti privati con computer controllati dalle forze dell’ordine. Non è stato annunciato nessun arresto, quindi i cybercriminali sono ancora in libertà.