la colección de Se utilizaron millones de computadoras pirateadas conocidas como Aisuru y Kimwolf para lanzar algunos de los mayores Ataques distribuidos de denegación de servicio (DDoS) ya visto. Ahora, las agencias policiales estadounidenses han eliminado ambos de Internet, junto con otras dos hordas de computadoras secuestradas –conocidas como botnets– en una única y radical eliminación.
El jueves, el Departamento de Justicia de EE.UU., en colaboración con la agencia de ejecución de delitos cibernéticos del Departamento de Defensa de EE.UU. conocida como Servicio de Investigación Criminal de Defensa, anunció que había desmantelado cuatro botnets masivas en una sola operación, eliminando los servidores de comando y control utilizados para comandar los ejércitos de dispositivos comprometidos controlados por piratas informáticos conocidos con los nombres JackSkid, Mossad, Aisuru y Kimwolf. Juntos, los operadores de las cuatro botnets acumularon más de 3 millones de dispositivos, dijo el Departamento de Justicia, y a menudo vendieron el acceso a esos dispositivos a otros piratas informáticos criminales, además de utilizarlos para atacar a las víctimas con abrumadoras inundaciones de tráfico de ataque para desconectar sitios web y servicios de Internet.
Aisuru y Kimwolf, una botnet distinta pero relacionada con Aisuru, comprendían en conjunto más de un millón de dispositivos. según la empresa de defensa DDoS CloudflareAisuru infecta una variedad de dispositivos, desde DVR hasta dispositivos de red y cámaras web, y su rama Kimwolf infecta dispositivos Android, incluidos televisores inteligentes y decodificadores. Cloudflare afirma que las dos botnets, trabajando juntas, llevaron a cabo un ciberataque contra un cliente de Cloudflare en noviembre pasado que alcanzó más de 30 terabits de datos por segundo, casi tres veces el tamaño del ataque más grande anterior.
No se anunciaron arrestos inmediatamente junto con las expulsiones, pero una declaración del Departamento de Justicia señaló que el gobierno de Estados Unidos estaba colaborando con las autoridades canadienses y alemanas, “que tenían como objetivo a individuos que operaban estas redes de bots”.
“Estados Unidos se mantiene firme en nuestro compromiso de salvaguardar la infraestructura crítica de Internet y combatir a los ciberdelincuentes que ponen en riesgo su seguridad dondequiera que vivan”, escribió el fiscal federal Michael J. Heyman en un comunicado.
De las cuatro botnets eliminadas en la operación, Aisuru ganó la mayor notoriedad gracias a una serie de ciberataques récord o casi récord que llevó a cabo el otoño pasado. La botnet, cuyo uso se ha alquilado como muchos de estos servicios de “inicio”, ofreciendo sus disruptivas capacidades de fuerza bruta a cualquiera que esté dispuesto a pagar, se ha mostrado visiblemente en contra de servicios de juegos como Minecraft y el periodista independiente de ciberseguridad Brian Krebs. Krebs, que ha investigado exhaustivamente la botnet clandestina y Aisuru en particular, sufrió repetidos ataques de la botnet el año pasado.
Luego, en noviembre, Cloudflare absorbió un ataque combinado sin precedentes de Aisuru y Kimwolf que duró solo 35 segundos pero alcanzó 31,4 terabits por segundo, un volumen de tráfico de ataque que casi triplica el tamaño de cualquiera visto antes. (La empresa no reveló cuáles de sus clientes fueron afectados por el ataque).
en un informe En cuanto al estado del ecosistema DDoS, Cloudflare describió el tráfico máximo de ataques de las botnets Aisuru y Kimwolf combinados como equivalente a “las poblaciones combinadas del Reino Unido, Alemania y España, todas escribiendo simultáneamente la dirección de un sitio web y presionando ‘enter’ en el mismo segundo”. La botnet era capaz, escribieron los analistas de Cloudflare, de “lanzar ataques DDoS que pueden paralizar la infraestructura crítica, bloquear la mayoría de las soluciones de protección DDoS heredadas basadas en la nube e incluso interrumpir la conectividad de naciones enteras”.
De hecho, las cuatro botnets desmanteladas por la operación estadounidense eran variantes de miraiuna botnet de Internet de las cosas que apareció por primera vez en 2016, batió récords en ese momento por el tamaño de los ciberataques que permitió y terminó siendo utilizada en un ataque al proveedor de servicios de nombres de dominio Dyn, que eliminó 175.000 sitios web simultáneamente en gran parte de los Estados Unidos. Desde entonces, el código base de Mirai ha servido como punto de partida para una década de otras botnets de Internet de las cosas.
