Правоохоронні органи по всьому світу успішно ліквідували SocksEscort – велику злочинну ботнет-мережу, що складається з десятків тисяч зламаних роутерів. Операція, в якій брали участь декілька країн, ефективно знищила мережу, що використовується для широкого спектру незаконної діяльності, включаючи фінансове шахрайство, DDoS-атаки та поширення нелегального контенту.
Масштаб загрози
SocksEscort функціонувала шляхом зараження домашніх та невеликих бізнес-роутерів, перетворюючи їх на неусвідомлені проксі для злочинців. За даними Європолу, ботнет зламав понад 369 000 роутерів та IoT-пристроїв у 163 країнах. Жертви не підозрювали, що їх пристрої експлуатуються. Сервіс стягував плату зі злочинців за доступ до цих заражених машин, дозволяючи їм маскувати свої IP-адреси та здійснювати атаки без легкої відстежуваності.
Злочинна діяльність, що полегшується SocksEscort
Ботнет забезпечував широкий спектр кіберзлочинів:
- Фінансове шахрайство: Зламування банківських та криптовалютних акаунтів.
- Шахрайство з допомогою з безробіття: Подання шахрайських заявок для отримання фінансової вигоди.
- Атаки програм-вимагачів: Розгортання шкідливого ПЗ для здирництва.
- DDoS-атаки: Порушення роботи сервісів шляхом перевантаження трафіком.
- Поширення нелегального контенту: Розміщення та розповсюдження матеріалів із дитячою сексуальною експлуатацією (CSAM).
Міністерство юстиції (DOJ) оцінює, що злочини, що полегшуються SocksEscort, призвели до мільйонів доларів збитків для американських жертв.
Як працювала ботнет-мережа
Шкідливе програмне забезпечення, що використовується для роботи SocksEscort, відоме як AVRecon, було активно як мінімум з січня 2023 року. Компанія Black Lotus Labs, яка займається кібербезпекою, яка відстежувала ботнет і допомагала правоохоронним органам, зазначила, що мережа досягла піку приблизно в 280 000 зламаних роутерів. Більше половини заражених пристроїв перебували у Сполучених Штатах та Сполученому Королівстві, що робило її особливо ефективною для цільових атак.
Ліквідація
Правоохоронні органи взяли під контроль сайт SocksEscort, замінивши його контент повідомленням про операцію. Заражені роутери були відключені від сервісу, але експерти попереджають, що аналогічні мережі можуть з’явитися знову.
Ліквідація SocksEscort демонструє зростаючу витонченість кіберзлочинності та труднощі у боротьбі з нею. Злочинці постійно адаптують свої методи, що робить міжнародне співробітництво та передові заходи кібербезпеки, необхідними для захисту приватних осіб та підприємств.
Ліквідація SocksEscort завдає серйозного удару по кіберзлочинцям, але загроза з боку ботнет-мереж, що зберігається, підкреслює необхідність пильності та підвищення безпеки роутерів серед користувачів.
