Le forze dell’ordine di tutto il mondo hanno smantellato con successo SocksEscort, un’importante botnet criminale composta da decine di migliaia di router compromessi. L’operazione, che ha coinvolto più paesi, ha di fatto chiuso una rete utilizzata per un’ampia gamma di attività illegali, tra cui frodi finanziarie, attacchi DDoS e distribuzione di contenuti illegali.
La portata della minaccia
CalzeEscort operava infettando i router domestici e delle piccole imprese, trasformandoli in proxy inconsapevoli per i criminali. Secondo Europol, la botnet ha compromesso oltre 369.000 router e dispositivi IoT in 163 paesi. Le vittime non erano consapevoli che i loro dispositivi venissero sfruttati. Il servizio addebitava ai criminali l’accesso a queste macchine infette, consentendo loro di mascherare i propri indirizzi IP e sferrare attacchi senza una facile tracciabilità.
Attività criminali agevolate da CalzeEscort
La botnet ha consentito una vasta gamma di crimini informatici:
- Frodi finanziarie: Hacking di conti bancari e di criptovalute.
- Frode sulla disoccupazione: Presentazione di richieste fraudolente a scopo di lucro.
- Attacchi ransomware: distribuzione di malware a scopo di estorsione.
- Attacchi DDoS: interruzione dei servizi a causa di un traffico eccessivo.
- Distribuzione di contenuti illegali: hosting e distribuzione di materiale pedopornografico (CSAM).
Il Dipartimento di Giustizia (DOJ) stima che i crimini facilitati da CalzeEscort abbiano provocato milioni di dollari di perdite per le vittime americane.
Come funzionava la botnet
Il malware utilizzato per alimentare CalzeEscort, noto come AVRecon, è attivo almeno da gennaio 2023. La società di sicurezza informatica Black Lotus Labs, che ha monitorato la botnet e assistito le forze dell’ordine, ha notato che la rete ha raggiunto il picco di circa 280.000 router compromessi. Oltre la metà dei dispositivi infetti si trovava negli Stati Uniti e nel Regno Unito, il che lo rende particolarmente efficace per attacchi mirati.
La rimozione
Le forze dell’ordine hanno preso il controllo del sito web di CalzeEscort, sostituendone il contenuto con un avviso che annunciava l’operazione. I router infetti sono stati disconnessi dal servizio, ma gli esperti avvertono che potrebbero emergere botnet simili.
La rimozione di CalzeEscort dimostra la crescente sofisticazione della criminalità informatica e le sfide nella sua lotta. I criminali adattano costantemente i loro metodi, rendendo la cooperazione internazionale e le misure avanzate di sicurezza informatica essenziali per proteggere individui e imprese.
Lo smantellamento di SocketEscort rappresenta un duro colpo per i criminali informatici, ma la continua minaccia delle botnet sottolinea la necessità di vigilanza e di maggiore sicurezza dei router tra gli utenti.
