El Departamento de Justicia de los Estados Unidos ha anunciado el desmantelamiento de la botnet '911 S5', considerada la mayor jamás detectada hasta ahora, y administrada por el ciudadano chino YunHe Wang, detenido la semana pasada. Según la acusación, esta red comprometió más de 19 millones de direcciones IP en 190 países, incluyendo más de 613.000 en Estados Unidos.
'911 S5' fue una red global de dispositivos comprometidos, principalmente computadoras con sistemas operativos Windows, que Wang y sus cómplices infectaron mediante programas VPN maliciosos. Comenzó a operar en mayo de 2014 y fue desconectado por su administrador en julio de 2022... aunque resurgió como "CloudRouter" en octubre de 2023.
Las aplicaciones maliciosas contenían puertas traseras que permitían a los operadores de la botnet controlar los dispositivos infectados, usándolos como intermediarios de su propia actividad en Internet, lo que permitía que sus conexiones parecieran provenir de los dispositivos de las víctimas.
Los cibercriminales que compraban acceso al botnet utilizaban estas direcciones IP para realizar una variedad de delitos, como ciberataques, fraudes a gran escala, amenazas de bomba y explotación infantil.
Entre los fraudes más destacados, se incluye la presentación de solicitudes falsas para ayudas relacionadas con la pandemia de COVID-19, que se tradujeron en pérdidas de miles de millones de dólares para instituciones financieras y programas federales de los EE. UU.
El arresto
Entre los bienes confiscados a Wang se encuentran vehículos de lujo como un Ferrari F8 Spider S-A, un BMW i8, un BMW X7 M50d y un Rolls Royce, así como más de una docena de cuentas bancarias nacionales e internacionales, múltiples billeteras de criptomonedas, relojes de lujo, 21 propiedades residenciales o de inversión en diversos países y 20 dominios web.
Las ganancias obtenidas por Wang al vender el acceso a las direcciones IP comprometidas ascienden a aproximadamente 99 millones de dólares.
Cómo identificar y eliminar las aplicaciones VPN maliciosas vinculadas a 911 S5
Una vez que los usuarios descargaron estas aplicaciones VPN, sin saberlo se convirtieron en víctimas de la botnet 911 S5:
- MaskVPN
- DewVPN
- PaladinVPN
- ProxyGate
- ShieldVPN
- ShineVPN
Para determinar si tu dispositivo está infectado con alguna de estas aplicaciones VPN maliciosas, sigue estos pasos:
Abrir el Administrador de Tareas
- Presiona Control+Alt+Delete en el teclado y selecciona la opción "Administrador de Tareas", o
- Haz clic derecho en el menú de inicio (icono de Windows) y selecciona "Administrador de Tareas".
Buscar procesos en ejecución
- En el Administrador de Tareas, ve a la pestaña "Procesos" y busca los siguientes nombres de servicios:
MaskVPN (mask_svc.exe)
DewVPN (dew_svc.exe)
PaladinVPN (pldsvc.exe)
ProxyGate (proxygate.exe, cloud.exe)
ShieldVPN (shieldsvc.exe)
ShineVPN (shsvc.exe)
Verificar a través del menú de Inicio
Si no encuentras los servicios en ejecución, busca en el menú de inicio alguna referencia a las citadas aplicaciones.
Eliminación de las aplicaciones VPN maliciosas
Si encuentras alguna de las aplicaciones mencionadas, sigue estos pasos para desinstalarlas:
- Usar la opción de desinstalación: Si la aplicación ofrece una opción de desinstalación en el menú de inicio, úsala para desinstalar el programa. Si no, prueba a hacerlo desde "Agregar o quitar programas" en la Configuración del sistema.
- Detener procesos en ejecución: Si te topas con servicios en ejecución que no pueden ser eliminados, abre el Administrador de Tareas, selecciona el servicio correspondiente y elige "Finalizar tarea".
- Verificar archivos en el Explorador. Después de desinstalar, verifica que los archivos hayan sido eliminados:
- Haz clic en el botón de inicio (icono de Windows) y escribe "Explorador de archivos".
- Navega a la unidad C: y abre "Archivos de Programa (x86)".
- Busca las carpetas con los nombres de las aplicaciones maliciosas (MaskVPN, DewVPN, ShineVPN, ShieldVPN, PaladinVPN o ProxyGate).
- Para ProxyGate, revisa también la ruta 'C:\users[NombreDeUsuario]\AppData\Roaming\ProxyGate'.
- Si encuentras las carpetas de las aplicaciones maliciosas, haz clic derecho sobre ellas y selecciona "Eliminar".
Imagen | Marcos Merino mediante IA
En Genbeta | Cómo saber si tu ordenador forma parte de una botnet