Investigadores en ciberseguridad han logrado interrumpir un importante botnet malicioso, afectando así al servicio de proxy que este alimentaba. Según un informe reciente de los investigadores de Black Lotus de Lumen, todo el tráfico hacia y desde la infraestructura dedicada al botnet ‘ngioweb’ ha sido bloqueado en su red global. Este botnet, identificado por primera vez a mediados de 2023, operaba más de 35,000 bots diariamente, distribuidos en 180 países, y se utilizaba principalmente para impulsar el servicio de proxy NSOCKS.
El servicio NSOCKS, descrito por Black Lotus como un «notorio servicio de proxy criminal», está vinculado al actor de amenazas conocido como Muddled Libra. Además, existen indicios de que este proxy ha sido utilizado por actores de amenazas patrocinados por estados, como APT28, también conocido como FancyBear, un conocido actor de amenazas ruso. Los investigadores han señalado que al menos el 80% de los bots de NSOCKS en su telemetría provienen del botnet ngioweb, utilizando principalmente routers de pequeñas oficinas/hogares (SOHO) y dispositivos IoT, con dos tercios de estos proxies ubicados en Estados Unidos.
Un servicio de proxy permite a los actores de amenazas ejecutar diferentes campañas maliciosas, ocultando su verdadera identidad y ubicación mediante el uso de un «proxy» o dispositivo intermediario. Además de operar como un proxy, el botnet ngioweb también podría ser utilizado para llevar a cabo ataques de Denegación de Servicio Distribuido (DDoS) disruptivos. Lumen dedicó más de un año al análisis del botnet y sus operaciones, y aunque no pudo concluir exactamente cómo se comprometió el hardware, especuló que probablemente fue a través de diversas vulnerabilidades de día n.
En el momento de la publicación, tanto el proxy NSOCKS como el botnet subyacente ngioweb están siendo fuertemente interrumpidos por Lumen y sus socios, dado que los investigadores encontraron tanto la arquitectura del botnet como su tráfico. Este esfuerzo conjunto representa un paso significativo en la lucha contra las amenazas cibernéticas, destacando la importancia de la colaboración internacional en la protección de infraestructuras críticas y la mitigación de riesgos asociados con el uso indebido de dispositivos conectados.
