El administrador de RSOCKS Proxy Botnet se declara culpable – Krebs on Safety


Denis Emelyantsevun hombre ruso de 36 años acusado de ejecutar una botnet masiva llamada CALCETINES que instaló malware en millones de dispositivos en todo el mundo, se declaró culpable de dos cargos de delitos informáticos en un tribunal de California esta semana. La declaración se deliver pocos meses después de que Emelyantsev fuera extraditado de Bulgaria, donde dijo a los investigadores: “Estados Unidos me está buscando porque tengo una enorme cantidad de información y la necesitan”.

Una copia del pasaporte de Denis Emelyantsev, también conocido como Denis Kloster, publicado en su página de Vkontakte en 2019.

Anunciado por primera vez en el cibercrimen clandestino en 2014, RSOCKS fue el escaparate basado en la website para computadoras pirateadas que se vendieron como «proxies» a los ciberdelincuentes que buscaban formas de enrutar su tráfico world wide web a través del dispositivo de otra persona.

Los clientes podían pagar para alquilar el acceso a un conjunto de proxies durante un período específico, con costos que oscilaban entre $30 por día para acceder a 2000 proxies y $200 por día para hasta 90 000 proxies.

Muchos de los sistemas infectados eran dispositivos de Online de las cosas (IoT), incluidos sistemas de management industrial, relojes registradores, enrutadores, dispositivos de transmisión de audio/video y abridores de puertas de garaje inteligentes. Más adelante en su existencia, la botnet RSOCKS se expandió para comprometer dispositivos Android y computadoras convencionales.

En junio de 2022, las autoridades de Estados Unidos, Alemania, los Países Bajos y el Reino Unido anunció una operación conjunta para desmantelar la botnet RSOCKS. Pero esa acción no nombró a ningún acusado.

Inspirado por ese derribo, KrebsOnSecurity siguió las pistas de la identidad del maestro de la botnet RSOCKS en los foros de ciberdelincuencia para Blog individual de Emelyantsevdonde pasó por el nombre Denis Kloster. El site presentó reflexiones sobre los desafíos de administrar una empresa que vende «servicios de seguridad y anonimato a clientes de todo el mundo», e incluso incluyó una foto grupal de los empleados de RSOCKS.

“¡Gracias a ustedes, ahora nos estamos desarrollando en el campo de la seguridad de la información y el anonimato!”, se entusiasmó el weblog de Kloster. “Fabricamos productos que utilizan miles de personas en todo el mundo, ¡y esto es genial! ¡¡¡Y esto es sólo el principio!!! No solo trabajamos juntos y no somos solo amigos, somos familia”.

Pero cuando se publicó la investigación, Emelyantsev ya había sido capturado por las autoridades búlgaras en respuesta a una orden de arresto estadounidense. En su audiencia de extradición, Emelyantsev afirmó que demostraría su inocencia en un tribunal estadounidense.

“He contratado a un abogado allí y quiero que me envíen lo más rápido posible para aclarar estos cargos sin fundamento”, Emelyantsev dicho la corte búlgara. “No soy un criminal y lo demostraré en un tribunal estadounidense”.

RSOCKS, alrededor de 2016. En ese momento, RSOCKS publicitaba más de 80,000 proxies. Imagen: archivo.org.

Emelyantsev period mucho más que un simple administrador de una gran botnet. Detrás de la fachada de su empresa de publicidad en Net con sede en Omsk, Rusia, el botmaster de RSOCKS fue un jugador importante en la industria rusa de spam por correo electrónico durante más de una década.

Algunos de los principales foros rusos sobre delitos cibernéticos han sido pirateados a lo largo de los años, y los mensajes privados filtrados de esos foros muestran que el administrador de RSOCKS reclamó la propiedad del RUSdot foro de spam RUSdot es el foro sucesor de Spamdotuna comunidad mucho más reservada y restringida en la que colaboraron durante años la mayoría de los principales spammers, creadores de virus y ciberdelincuentes del mundo antes de que el foro colapsara en 2010.

Una versión traducida por Google del foro de spam de Rusdot.

De hecho, las primeras menciones de RSOCKS en cualquier foro de ciberdelincuencia en idioma ruso se refieren al servicio por su nombre completo como «Servidor de calcetines RUSdot.”

El correo electrónico no deseado, y en unique el correo electrónico malicioso enviado a través de computadoras comprometidas, sigue siendo una de las mayores fuentes de infecciones de malware que conducen a violaciones de datos y ataques de ransomware. Por lo tanto, es lógico que, como administrador del foro de spammers más conocido de Rusia, Emelyantsev probablemente sepa bastante sobre otros jugadores importantes en la comunidad de spam y malware de botnets.

No está claro si Emelyantsev cumplió su promesa de divulgar ese conocimiento a los investigadores estadounidenses como parte de su acuerdo de culpabilidad. El caso está siendo procesado por la Oficina del Fiscal Federal para el Distrito Sur de California, que no ha respondido a una solicitud de comentarios.

Emelyantsev se declaró culpable el lunes de dos cargos, incluidos daños a computadoras protegidas y conspiración para dañar computadoras protegidas. Se enfrenta a un máximo de 20 años de prisión y actualmente está programado para ser sentenciado el 27 de abril de 2023.



Enlace a la noticia unique