Strafverfolgungsbehörden auf der ganzen Welt haben SocksEscort, ein großes kriminelles Botnetz, das aus Zehntausenden kompromittierten Routern besteht, erfolgreich zerschlagen. Durch die Operation, an der mehrere Länder beteiligt waren, wurde ein Netzwerk effektiv lahmgelegt, das für eine Vielzahl illegaler Aktivitäten genutzt wurde, darunter Finanzbetrug, DDoS-Angriffe und die Verbreitung illegaler Inhalte.
Das Ausmaß der Bedrohung
SocksEscort infizierte Heim- und Kleinunternehmensrouter und verwandelte sie in unwissende Proxys für Kriminelle. Laut Europol hat das Botnetz über 369.000 Router und IoT-Geräte in 163 Ländern kompromittiert. Die Opfer wussten nicht, dass ihre Geräte ausgenutzt wurden. Der Dienst berechnete den Kriminellen den Zugriff auf diese infizierten Maschinen und ermöglichte ihnen so, ihre IP-Adressen zu verschleiern und Angriffe ohne einfache Rückverfolgbarkeit durchzuführen.
Kriminelle Aktivitäten ermöglicht durch SocksEscort
Das Botnetz ermöglichte ein Spektrum an Cyberkriminalität:
- Finanzbetrug: Hacken von Bank- und Kryptowährungskonten.
- Betrug bei Arbeitslosigkeit: Einreichen betrügerischer Ansprüche zur Erzielung finanzieller Vorteile.
- Ransomware-Angriffe: Einsatz von Malware zur Erpressung.
- DDoS-Angriffe: Beeinträchtigung der Dienste durch überwältigenden Datenverkehr.
- Illegale Inhaltsverbreitung: Hosting und Verbreitung von Material über sexuellen Missbrauch von Kindern (CSAM).
Das Justizministerium (DOJ) schätzt, dass die von SocksEscort ermöglichten Verbrechen zu Verlusten in Millionenhöhe für amerikanische Opfer geführt haben.
Wie das Botnetz funktionierte
Die Malware, die SocksEscort antreibt und als AVRecon bekannt ist, ist seit mindestens Januar 2023 aktiv. Das Cybersicherheitsunternehmen Black Lotus Labs, das das Botnetz verfolgte und die Strafverfolgung unterstützte, stellte fest, dass das Netzwerk einen Spitzenwert von etwa 280.000 kompromittierten Routern erreichte. Über die Hälfte der infizierten Geräte befanden sich in den USA und im Vereinigten Königreich, was sie für gezielte Angriffe besonders effektiv macht.
Der Takedown
Die Strafverfolgungsbehörden übernahmen die Kontrolle über die Website von SocksEscort und ersetzten deren Inhalt durch eine Mitteilung, in der die Operation angekündigt wurde. Die infizierten Router wurden vom Dienst getrennt, Experten warnen jedoch, dass ähnliche Botnetze entstehen könnten.
Die Abschaltung von SocksEscort zeigt die zunehmende Komplexität der Cyberkriminalität und die Herausforderungen bei ihrer Bekämpfung. Kriminelle passen ihre Methoden ständig an, wodurch internationale Zusammenarbeit und fortschrittliche Cybersicherheitsmaßnahmen für den Schutz von Einzelpersonen und Unternehmen unerlässlich werden.
Die Auflösung von SocksEscort stellt einen schweren Schlag für Cyberkriminelle dar, aber die anhaltende Bedrohung durch Botnetze unterstreicht die Notwendigkeit von Wachsamkeit und verbesserter Router-Sicherheit bei den Benutzern.
