Les forces de l’ordre du monde entier ont réussi à démanteler SocksEscort, un important botnet criminel composé de dizaines de milliers de routeurs compromis. L’opération, impliquant plusieurs pays, a effectivement fermé un réseau utilisé pour un large éventail d’activités illégales, notamment la fraude financière, les attaques DDoS et la distribution de contenus illégaux.
L’ampleur de la menace
SocksEscort opérait en infectant les routeurs des particuliers et des petites entreprises, les transformant en proxys involontaires pour les criminels. Selon Europol, le botnet a compromis plus de 369 000 routeurs et appareils IoT dans 163 pays. Les victimes ne savaient pas que leurs appareils étaient exploités. Le service facturait les criminels pour l’accès à ces machines infectées, leur permettant ainsi de masquer leurs adresses IP et de mener des attaques sans traçabilité facile.
Activités criminelles facilitées par SocksEscort
Le botnet a permis toute une gamme de cybercriminalité :
- Fraude financière : Piratage de comptes bancaires et de cryptomonnaies.
- Fraude au chômage : Dépôt de demandes frauduleuses pour obtenir un gain financier.
- Attaques de ransomware : Déploiement de logiciels malveillants à des fins d’extorsion.
- Attaques DDoS : Perturbation des services en raison d’un trafic écrasant.
- Distribution de contenu illégal : Hébergement et distribution de matériel pédopornographique (CSAM).
Le ministère de la Justice (DOJ) estime que les crimes facilités par SocksEscort ont entraîné des millions de dollars de pertes pour les victimes américaines.
Comment fonctionnait le botnet
Le malware utilisé pour alimenter SocksEscort, connu sous le nom de AVRecon, est actif depuis au moins janvier 2023. La société de cybersécurité Black Lotus Labs, qui a suivi le botnet et aidé les forces de l’ordre, a noté que le réseau atteignait un pic d’environ 280 000 routeurs compromis. Plus de la moitié des appareils infectés se trouvaient aux États-Unis et au Royaume-Uni, ce qui le rend particulièrement efficace pour les attaques ciblées.
Le retrait
Les forces de l’ordre ont pris le contrôle du site Internet SocksEscort, remplaçant son contenu par un avis annonçant l’opération. Les routeurs infectés ont été déconnectés du service, mais les experts préviennent que des botnets similaires pourraient émerger.
Le démantèlement de SocksEscort démontre la sophistication croissante de la cybercriminalité et les défis liés à sa lutte. Les criminels adaptent constamment leurs méthodes, rendant la coopération internationale et les mesures avancées de cybersécurité essentielles à la protection des individus et des entreprises.
Le démantèlement de SocksEscort représente un coup dur pour les cybercriminels, mais la menace persistante des réseaux de zombies souligne la nécessité d’être vigilant et d’améliorer la sécurité des routeurs parmi les utilisateurs.
