El Departamento de Justicia de EE. UU. Acusó al administrador de la botnet WireX Android por atacar a una cadena de hoteles multinacional estadounidense en un ataque distribuido de denegación de servicio (DDoS).
Izzet Mert Ozek, el acusado, usó la botnet que consistía en decenas de miles de dispositivos Android esclavizados, más de 120,000 según las direcciones IP únicas observadas en algunos ataques WireX, para apuntar al sitio web del sistema de reservas en línea de la compañía en agosto de 2017.
«La compañía de hospitalidad, que administraba hoteles y complejos turísticos de lujo, tenía su sede en Chicago y los servidores de su sitio web estaban ubicados en el norte de Illinois», dice un comunicado de prensa del Departamento de Justicia .
«Como parte del ataque DDoS, el atacante dirigió grandes cantidades de tráfico de red de computadoras a los servidores de la Compañía A que alojaban el sitio web de la Compañía A y el servicio de reservas en línea, lo que provocó que los recursos disponibles fueran consumidos por el ataque y que dejaran pocos o pocos recursos para acomodar. usuarios legítimos «, según documentos judiciales .
Ozek fue acusado el miércoles de un cargo de causar daño intencionalmente a una computadora protegida que se castiga con hasta diez años de prisión.
El acusado aún no ha sido arrestado y aún no se ha emitido una orden de arresto. Se cree que actualmente reside en Turquía.
La botnet WireX fue rápidamente eliminada
Si bien el Departamento de Justicia no reveló si Ozek era un cliente o un administrador de la botnet WireX, BleepingComputer pudo vincularlo a la infraestructura utilizada por la botnet.
Es un poderoso sistema de administración de TI y un paquete de software de monitoreo de TI que permite a las
organizaciones identificar y resolver problemas de infraestructura de TI antes de que afecten los procesos comerciales críticos.
Su página de LinkedIn lo muestra como el fundador de una empresa llamada AxClick, un término que se utiliza en varios subdominios de un único dominio raíz (axclick [.] Store) que forma parte de la infraestructura de comando y control (C2) de WireX utilizada para instruir a la botnet. para lanzar ataques DDoS contra objetivos específicos.
La botnet WireX apareció a mediados de julio de 2017 y se creó utilizando cientos de aplicaciones troyanizadas distribuidas a través de Google Play Store y tiendas de aplicaciones de terceros.
Si bien los ataques de la botnet comenzaron en julio (ocasionalmente arrojaron notas de rescate sobre algunos de sus objetivos), solo aterrizó en los radares de los investigadores de seguridad el 17 de agosto cuando se usó en ataques DDoS de capa 7 (nivel de aplicación) a gran escala dirigidos a múltiples Content Delivery Networks (CDN) y proveedores de contenido, agotando los recursos de memoria del servidor y desactivando los servicios en línea.
Según los investigadores que analizaron estos incidentes de mediados de agosto, la botnet lanzó ataques DDoS utilizando bots de más de 100 países, repartidos en más de 120.000 direcciones IP simultáneas.
Después de estos ataques, la botnet fue rápidamente eliminada a fines de agosto de 2017, con los esfuerzos combinados de investigadores de Akamai , Cloudflare , Flashpoint , RiskIQ , Google, Oracle Dyn, Team Cymru, algunos de sus objetivos DDoS, otras medidas de mitigación DDoS y firmas de inteligencia y el FBI.
«Este grupo de confianza se formó inmediatamente después de los ataques masivos iniciales que se originaron en Mirai», dijo Justin Paine, Jefe de Confianza y Seguridad en Cloudflare, a Bleeping Computer en ese momento.
«Este grupo de investigadores también fue fundamental durante la clasificación inicial de WannaCry, NotPetya y otros eventos desde Mirai».
Fuente: bleepingcomputer.com
