Autoridades de 21 países derribaron 53 dominios y arrestaron a cuatro personas presuntamente involucradas en operaciones distribuidas de denegación de servicio utilizado por más de 75.000 ciberdelincuentes, dijo Europol el jueves.

El esfuerzo coordinado globalmente denominado “Operación Apagado«Interrumpió los servicios de arranque y confiscó y desmanteló la infraestructura, incluidos servidores y bases de datos, que respaldaban los servicios de alquiler de DDoS, dijeron los funcionarios.

Los organismos encargados de hacer cumplir la ley obtuvieron datos sobre más de 3 millones de cuentas de usuarios presuntamente delincuentes de las bases de datos incautadas y, finalmente, enviaron más de 75.000 correos electrónicos y cartas a los participantes, advirtiéndoles que detuvieran sus actividades.

Los funcionarios de los países involucrados en la operación también cumplieron 25 órdenes de registro, eliminaron más de 100 URL que anunciaban servicios de alquiler de DDoS en los resultados de los motores de búsqueda y crearon anuncios en motores de búsqueda dirigidos a jóvenes que buscaban herramientas de alquiler de DDoS.

La operación, que está en curso, apunta principalmente a factores estresantes de IP o iniciadores DDoS que los ciberdelincuentes utilizan para inundar sitios web, servidores y redes con tráfico basura, haciendo que los servicios legítimos sean inaccesibles.

Los funcionarios describieron las herramientas de alquiler de DDoS como prolíficas y de fácil acceso, y a menudo incluyen tutoriales que permiten a personas sin conocimientos de tecnología iniciar ataques contra diversas organizaciones.

«Los ataques suelen tener un enfoque regional, y los usuarios apuntan a servidores y sitios web dentro de su continente, y están dirigidos a una amplia gama de objetivos, incluidos mercados en línea, proveedores de telecomunicaciones y otros servicios basados ​​en la web», dijo Europol en un comunicado de prensa. «Las motivaciones varían desde la curiosidad hasta propósitos ideológicos vinculados al hacktivismo, así como ganancias financieras a través de la extorsión o la interrupción de los servicios de los competidores».

Operation PowerOFF cuenta con el apoyo de múltiples agencias policiales de Estados Unidos, Reino Unido, Australia, Austria, Bélgica, Brasil, Bulgaria, Dinamarca, Estonia, Finlandia, Alemania, Japón, Letonia, Lituania, Luxemburgo, Países Bajos, Noruega, Polonia, Portugal, Suecia y Tailandia.

La represión internacional interrumpió otros servicios populares de alquiler de DDoS a finales de 2024, provocando tres arrestos y 27 retiradas de dominios. En mayo, las autoridades de Polonia arrestaron a cuatro presuntos administradores de herramientas de alquiler DDoS que los ciberdelincuentes utilizaron para lanzar miles de ataques entre 2022 y 2025.

Investigadores de ciberseguridad han levantado el telón sobre una botnet sigilosa diseñada para ataques distribuidos de denegación de servicio (DDoS).

Llamado masjesula botnet se ha anunciado a través de Telegram como un servicio de alquiler de DDoS desde que apareció por primera vez en 2023. Es capaz de apuntar a una amplia gama de dispositivos de IoT, como enrutadores y puertas de enlace, que abarcan múltiples arquitecturas.

«Construido para la persistencia y la baja visibilidad, Masjesu prefiere una ejecución cuidadosa y discreta a una infección generalizada, evitando deliberadamente rangos de IP bloqueados como los que pertenecen al Departamento de Defensa (DoD) para garantizar la supervivencia a largo plazo», dijo el investigador de seguridad de Trellix Mohideen Abdul Khader F. dicho en un informe del martes.

Vale la pena señalar que la oferta comercial también se conoce con el nombre de XorBot debido a su uso de cifrado basado en XOR para ocultar cadenas, configuraciones y datos de carga útil. Fue documentado por primera vez por el proveedor de seguridad chino NSFOCUS en diciembre de 2023, vinculándolo con un operador llamado «synmaestro».

A Se descubrió que la iteración posterior de la botnet observada un año después había agregado 12 exploits diferentes de inyección de comandos y ejecución de código para apuntar a enrutadores, cámaras, DVR y NVR de D-Link, Eir, GPON, Huawei, Intelbras, MVPower, NETGEAR, TP-Link y Vacron, y obtener acceso inicial. También se agregaron nuevos módulos para realizar ataques de inundación DDoS.

«Como familia de botnets emergente, XorBot está mostrando un fuerte impulso de crecimiento, infiltrándose y controlando continuamente nuevos dispositivos de IoT», dijo NSFOCUS en noviembre de 2024. «En particular, estos controladores están cada vez más inclinados a utilizar plataformas de redes sociales como Telegram como canales principales para el reclutamiento y la promoción, atrayendo ‘clientes’ objetivo a través de actividades promocionales activas iniciales, sentando una base sólida para la posterior expansión y desarrollo de la botnet».

Los últimos hallazgos de Trellix muestran que Masjesu ha comercializado la capacidad de llevar a cabo ataques DDoS volumétricos, enfatizando su diversa infraestructura de botnet y su idoneidad para apuntar a redes de entrega de contenido (CDN), servidores de juegos y empresas. Los ataques organizados por la botnet se originan principalmente en Vietnam, Ucrania, Irán, Brasil, Kenia e India, y Vietnam representa casi el 50% del tráfico observado.

Una vez implementado en un dispositivo comprometido, el malware crea y vincula un socket con un puerto TCP codificado (55988) para permitir que el atacante se conecte directamente. Si esta operación falla, la cadena de ataque se elimina inmediatamente.

De lo contrario, el malware procede a configurar la persistencia, ignorar las señales relacionadas con la terminación, detener procesos comúnmente utilizados como wget y curl, posiblemente para interrumpir las botnets competidoras, y luego se conecta a un servidor externo para recibir comandos de ataque DDoS para ejecutarlos contra objetivos de interés.

Masjesu también se jacta de capacidades de autopropagación, lo que le permite sondear direcciones IP aleatorias en busca de puertos abiertos e integrar con éxito los dispositivos comprometidos en su infraestructura. Una adición notable a la lista de objetivos de explotación son los enrutadores Realtek, que se lleva a cabo escaneando en busca de 52869, un puerto asociado con SDK de Realtekminiigd demonio. Múltiples botnets DDoS, como JenX y Satorihan abrazado el mismo enfoque en el pasado.

«La botnet continúa expandiéndose al infectar una amplia gama de dispositivos IoT en múltiples arquitecturas y fabricantes», dijo Trellix. «En particular, Masjesu parece evitar apuntar a organizaciones críticas sensibles que podrían generar una atención legal o policial significativa, una estrategia que probablemente mejora su capacidad de supervivencia a largo plazo».