Al termine di un’operazione internazionale, autorizzata dal tribunale e guidata dal Dipartimento di Giustizia degli Stati Uniti, le forze dell’ordine hanno smantellato la botnet 911 S5, considerata una delle più grandi di sempre. Lo scorso 24 maggio è stato anche arrestato l’amministratore YunHe Wang, un 35enne di nazionalità cinese. Il Dipartimento del Tesoro ha inoltre sanzionato Wang, altri due cybercriminali cinesi e tre società thailandesi.
Malware nascosto in VPN gratuite
Wang e i suoi “colleghi” hanno infettato milioni di computer in quasi 200 paesi per creare la botnet 911 S5. Sono stati identificati oltre 19 milioni di indirizzi IP unici. L’infrastruttura era composta da circa 150 server dedicati, usati per distribuire il malware, controllare i dispositivi da remoto e fornire ai clienti paganti l’accesso ai computer infettati.
Per trasformare i dispositivi in proxy residenziali, sfruttati per nascondere i veri indirizzi IP, sono state usate sei VPN gratuite (MaskVPN, DewVPN, PaladinVPN, ProxyGate, ShieldVPN e ShineVPN), in cui era nascosto il client della botnet che aggiunge il computer alla rete. Wang ha guadagnato quasi 99 milioni di dollari dalla vendita degli indirizzi IP dei proxy.
La botnet è stata utilizzata per attività criminali di ogni tipo, tra cui frodi finanziarie, stalking, esportazione illegale di beni, furto di denaro e sfruttamento minorile. Negli Stati Uniti sono stati anche chiesti sussidi di disoccupazione fasulli, causando perdite superiore a 5,9 miliardi di dollari.
Le forze dell’ordine hanno sequestrato 21 proprietà appartenenti a Wang, diverse automobili, oltre 12 conti bancari, oltre 24 wallet di criptovalute e vari orologi di lusso. L’amministratore della botnet è stato arrestato. Se giudicato colpevole rischia fino a 65 anni di prigione. L’FBI ha pubblicato una guida che spiega come verificare la presenza delle VPN suindicate e rimuoverle dal computer.