Em uma operação digna de filme, autoridades federais dos EUA, em colaboração com gigantes da tecnologia, puxaram da tomada a RapperBot, uma rede zumbi descrita pelo Departamento de Justiça como “uma das botnets de DDoS mais poderosas que já existiram”. O suposto maestro por trás dessa orquestra do caos digital, Ethan Foltz, um jovem de 22 anos do Oregon, foi preso em 6 de agosto, encerrando o reinado de uma ferramenta que, segundo as investigações, foi responsável por derrubar até o Twitter/X.
A RapperBot, também conhecida como Eleven Eleven Botnet ou CowBot, não era uma botnet qualquer. Era um serviço de aluguel para ataques de negação de serviço (DDoS) que, entre abril e agosto, lançou mais de 370.000 ataques contra cerca de 18.000 vítimas em mais de 80 países. A rede era um verdadeiro rolo compressor digital, com um exército de dezenas de milhares de dispositivos IoT hackeados, de câmeras de segurança a, pasmem, geladeiras conectadas — o painel de controle da botnet recebia os usuários com a mensagem “Bem-vindo ao Baile, agora com suporte a refrigeradores”.
O Poder de Fogo de um Exército Digital
A escala da RapperBot era colossal. De acordo com os documentos judiciais, os ataques geralmente atingiam uma média de 2 a 3 Terabits por segundo (Tbps), mas os investigadores registraram picos que ultrapassaram impressionantes 6 Tbps. Para colocar em perspectiva, o Departamento de Justiça estima que um ataque de 2 Tbps durante meros 30 segundos pode custar a uma vítima entre 500 e 10.000 dólares. Entre os alvos estavam redes do governo dos EUA, serviços relacionados à defesa, plataformas de mídia social e até mesmo sites de apostas na China, que supostamente eram pressionados a pagar extorsões para cessar os ataques.
A Regra de Ouro: Não Incomode Brian Krebs
Apesar de todo o seu poder, Foltz e seu parceiro, conhecido apenas pelo apelido “Slaykings”, tinham uma filosofia curiosa para se manterem fora do radar: evitar a todo custo chamar a atenção da mídia e de investigadores de segurança. A principal regra, conforme revelado em logs de conversas no Telegram obtidos pelo FBI, era nunca, em hipótese alguma, atacar o site do jornalista de segurança Brian Krebs. Segundo o portal Krebs on Security, os operadores da RapperBot observaram um concorrente, o brasileiro por trás da botnet Aisuru, atacar o site do jornalista e comentaram sobre o erro fatal.
“Ir contra Krebs não é uma boa jogada”, teria escrito Slaykings. “Não se trata de ser covarde ou ter medo, você apenas arranja muitos problemas por dinheiro zero. Infantil, mas bom. Deixe-os morrer”. Foltz concordou: “Sim, é bom, eles vão morrer”. Nas conversas, Slaykings ainda profetizou: “Krebs é muito vingativo. Ele não vai parar até que eles estejam ferrados até o osso”. Essa paranoia em não cutucar a onça com vara curta mostra a tentativa calculada de operar nas sombras, longe dos holofotes que poderiam acelerar sua queda.
Operação PowerOFF: A Caçada ao Fantasma na Máquina
A queda da RapperBot foi o resultado da “Operação PowerOFF”, um esforço coordenado que uniu o Serviço de Investigação Criminal de Defesa (DCIS) e escritórios da promotoria dos EUA com um time de peso do setor privado, incluindo AWS, Akamai, Cloudflare, Google e DigitalOcean. A trilha que levou a Foltz começou de forma clássica: um subpoena a um provedor de internet que hospedava um dos servidores de comando e controle revelou que a conta era paga via PayPal. A partir daí, foi uma questão de seguir o dinheiro, que levou os agentes ao email de Foltz e seus endereços de IP.
Após a batida em sua residência, Foltz teria admitido ser o criador e operador da botnet, dividindo os lucros meio a meio com “Slaykings”. A cooperação das empresas de tecnologia foi fundamental para identificar e desativar a infraestrutura maliciosa antes que mais ataques pudessem ser lançados. A AWS, em um post no LinkedIn, confirmou seu papel, destacando como suas ferramentas de detecção de ameaças ajudaram a desmantelar a rede.
O Legado do Mirai e a Estratégia “Cachinhos Dourados”
Como um arqueólogo digital descobrindo camadas de código, a investigação revelou que a RapperBot é descendente direta de outras botnets infames. Seu código é amplamente baseado na fBot, que por sua vez é uma variação da notória botnet Mirai, cujo código-fonte vazou em 2016 e desde então assombra a internet. No entanto, Foltz e seu parceiro adotaram o que o processo judicial chama de estratégia “Cachinhos Dourados”: manter a botnet em um tamanho “ideal”. Com cerca de 65.000 dispositivos escravizados, a rede era poderosa o suficiente para causar estragos, mas, na esperança deles, pequena o suficiente para não ser detectada. A estratégia funcionou por um tempo, mas não para sempre.
Pouco antes de ser preso, Foltz se gabava para seu parceiro de ter encontrado uma nova vulnerabilidade que lhes daria mais 32.000 dispositivos, afirmando: “Mais uma vez, temos a maior botnet da comunidade”. Horas depois, enquanto seu parceiro se mostrava paranoico com uma mudança em seu comportamento, Foltz foi abordado por agentes federais. A cortina se fechou para a RapperBot. Se condenado, Ethan Foltz pode pegar até 10 anos de prisão, um final silencioso para um dos operadores mais barulhentos da internet clandestina.