🛡 CIBERCRIMEN 🛡

Detenido en Canadá el presunto líder de Kimwolf, una botnet masiva para cibercriminales.

🛡CyberObservatorio
Idioma

Detenido en Canadá el presunto líder de Kimwolf, una botnet masiva para cibercriminales.

Fuente: CyberScoop

El reciente arresto de un ciudadano canadiense acusado de liderar Kimwolf, una de las botnets DDoS más extensas registradas hasta la fecha, está generando un eco significativo en la comunidad de ciberseguridad. Jacob Butler, de 23 años, conocido también como “Dort”, fue detenido el miércoles en Ottawa y se encuentra a la espera de ser extraditado a Estados Unidos, donde enfrenta cargos por ayudar y facilitar intrusiones informáticas. Si es declarado culpable, podría enfrentarse a una pena de hasta diez años de prisión.

Investigaciones realizadas por las autoridades revelan que Butler fue un administrador principal de Kimwolf, una variante de la botnet Aisuru, que ha sido objeto de atención por su rápida expansión y su capacidad para tomar control de más de 2 millones de dispositivos Android TV. Los operadores de Kimwolf lograron aprovechar redes de proxy residenciales, lo que les permitió ejercer control local sobre estos dispositivos de manera eficaz. En marzo, las autoridades habían confiscado la infraestructura que alimentaba no solo a Kimwolf, sino también a otras botnets como Aisuru, JackSkid y Mossad, las cuales, en conjunto, secuestraron alrededor de tres millones de dispositivos y llevaron a cabo más de 300,000 ataques DDoS.

Kimwolf operaba como un servicio de DDoS por encargo para otros cibercriminales, y ha sido responsable de más de 25,000 ataques, ocasionando interrupciones en redes y pérdidas económicas que ascienden a millones de dólares. Además, las investigaciones hallaron pruebas que vinculan a Kimwolf con ataques DDoS dirigidos a direcciones IP de la red del Departamento de Defensa de Estados Unidos. Zach Edwards, investigador de amenazas en Infoblox, destacó que “Kimwolf y las botnets asociadas a esta operación han respaldado esfuerzos constantes de intrusión corporativa y han sido utilizadas por una amplia gama de actores de amenazas de gran seriedad”.

Las autoridades llevaron a cabo una operación internacional coordinada en la que se registró la residencia de Butler, aunque su arresto no se materializó hasta dos meses después. En abril, se presentó una denuncia penal contra él en el Tribunal de Distrito de Alaska, que fue desglosada públicamente tras su arresto. Un agente especial del Servicio de Investigaciones Criminales de Defensa confirmó la identidad de Butler y su participación en la botnet Kimwolf, después de que se detectara que utilizaba la misma dirección IP para acceder a múltiples cuentas de correo electrónico y cuentas de Discord vinculadas a Kimwolf.

El agente especial afirmó en un affidavit que había observado importantes fallos en la seguridad operativa de Butler, lo que resultó en patrones de uso de IP superpuestos entre una cuenta de Google a nombre de Butler, otras cuentas de Google que se creía controladas por él y cuentas de Discord que apoyaban la operación de Kimwolf. “Las cuentas de Discord muestran patrones de uso de IP superpuestos con el servidor backend de Kimwolf. Estas direcciones IP parecen ser proxies o IPs de VPN que probablemente fueron utilizadas por Butler en un intento fallido de evadir la atención de las fuerzas del orden. Sin embargo, como muchos cibercriminales, Butler no utilizó exclusivamente direcciones IP de proxies o VPN”, añadió el agente especial.

A pesar de que las autoridades describieron las desarticulaciones de botnets en marzo de manera casi concluyente, los registros judiciales indican que Kimwolf ha vuelto a estar en funcionamiento. “Si bien el anuncio de hoy es alentador, todavía hay cientos de millones de dispositivos IoT y de red inseguros conectados a redes gubernamentales, corporativas y domésticas sensibles, y estos siguen siendo un objetivo prioritario para los actores de amenazas que buscan construir la próxima versión de Kimwolf”, advirtió Edwards. “Hasta que encontremos soluciones a este problema subyacente, lamentablemente continuaremos jugando a 'Whac-A-Mole' con los operadores de botnets año tras año”.

Este caso no solo resalta la persistente amenaza que representan las botnets como Kimwolf, sino también la necesidad urgente de reforzar la seguridad en dispositivos IoT y redes vulnerables. La industria debe adoptar medidas proactivas para mitigar los riesgos que estas amenazas representan, ya que la naturaleza descentralizada y a menudo desprotegida de muchos dispositivos conectados les convierte en blancos fáciles para los ciberdelincuentes. La comunidad de ciberseguridad debe estar alerta y preparada para enfrentar estos desafíos en un entorno digital en constante evolución.

Alleged leader of Kimwolf, a sweeping botnet for cybercriminals, arrested in Canada

Source: CyberScoop

Authorities arrested and unsealed charges against aCanadian man accused of running Kimwolf, one of the most far-reaching DDoS botnets on record, the Justice Department said Thursday. Jacob Butler was arrested Wednesday in Ottawa, Canada, and awaits extradition to the United States where he is charged with aiding and abetting computer intrusions and, if convicted, faces up to 10 years in prison. Investigators said the 23-year-old, also known as “Dort,” was a principal administrator of Kimwolf, a variant of the record-setting Aisuru DDoS botnet that spread like wildfire and eventually took overmore than 2 million Android TV devicesafter its operators figured out how to abuse residential-proxy networks for local control. Authorities in March seized infrastructure powering the Kimwolf, Aisuru, JackSkid and Mossad botnets, whichhijacked a combined three million devicesand launched more than 300,000 DDoS attacks collectively. Kimwolf, which operated as a DDoS-for-hire service for other cybercriminals, initiated more than 25,000 attacks, resulting in network outages, disruptions and financial losses exceeding millions of dollars, officials said. Officials also said they found evidence linking Kimwolf to DDoS attacks targeting Department of Defense Information Network IP addresses. “Kimwolf and the botnets associated with this operation have supported persistent corporate intrusion efforts and been used by a wide range of serious threat actors,” Zach Edwards, staff threat researcher at Infoblox, told CyberScoop. Authorities searched Butler’s residence during the globally coordinated operation, but did not arrest him until Wednesday, roughly two months later. Officials filed a criminal complaint against Butler in the U.S. District Court for the District of Alaska in April, and unsealed the complaint following his arrest. A special agent with the Defense Criminal Investigative Service confirmed Butler’s identity and involvement in the Kimwolf botnet after Butler used the same IP address to access multiple email accounts he controlled and Discord accounts linked to Kimwolf. “I have observed significant operational security lapses on Butler’s part resulting in patterns of overlapping IP usage among a Google account in Butler’s true name, other Google accounts that I believe to be controlled by Butler due to use of the same machine cookies, and Discord accounts which have been used in support of the KimWolf operation,” the special agent said in an affidavit. “The Discord accounts show patterns of overlapping IP usage with the KimWolf backend server. These IP addresses appear to be proxy or VPN IPs which were likely used by Butler in an unsuccessful attempt to evade law enforcement scrutiny. However, like many cybercriminals, Butler did not use proxy or VPN IP addresses exclusively,” the special agent added. Authorities described the botnet takedowns in March in nearly conclusive terms at the time, yet court records indicate the Kimwolf botnet is back in operation. “While today’s announcement is encouraging to see, there are still hundreds of millions of insecure IoT and network devices connected to sensitive government, corporate and home networks, and these remain a priority target for threat actors looking to build the next version of Kimwolf,” Edwards said. “Until we find solutions to this underlying problem,” he added, “we’ll unfortunately continue to play Whac-A-Mole with botnet operators year after year.” You can read the affidavit supporting the criminal complaint against Butler below. The postAlleged leader of Kimwolf, a sweeping botnet for cybercriminals, arrested in Canadaappeared first onCyberScoop.

Detenido en Canadá el presunto líder de Kimwolf, una botnet masiva para cibercriminales. | Ciberseguridad - NarcoObservatorio