Wetshandhavingsinstanties over de hele wereld hebben met succes SocksEscort ontmanteld, een groot crimineel botnet dat bestaat uit tienduizenden gecompromitteerde routers. Bij de operatie, waarbij meerdere landen betrokken waren, werd effectief een netwerk uitgeschakeld dat werd gebruikt voor een breed scala aan illegale activiteiten, waaronder financiële fraude, DDoS-aanvallen en de verspreiding van illegale inhoud.
De omvang van de dreiging
SocksEscort infecteerde routers voor thuis en kleine bedrijven en veranderde deze in onbewuste proxy’s voor criminelen. Volgens Europol heeft het botnet meer dan 369.000 routers en IoT-apparaten in 163 landen gecompromitteerd. Slachtoffers wisten niet dat hun apparaten werden uitgebuit. De dienst rekende criminelen aan voor toegang tot deze geïnfecteerde machines, waardoor ze hun IP-adressen konden maskeren en aanvallen konden uitvoeren zonder gemakkelijke traceerbaarheid.
Criminele activiteiten mogelijk gemaakt door SocksEscort
Het botnet maakte een spectrum van cybercriminaliteit mogelijk:
- Financiële fraude: Hacken van bank- en cryptocurrency-accounts.
- Werkloosheidsfraude: Het indienen van frauduleuze claims voor financieel gewin.
- Ransomware-aanvallen: Malware inzetten voor afpersing.
- DDoS-aanvallen: Diensten verstoren door overweldigend verkeer.
- Illegale distributie van inhoud: Hosting en distributie van materiaal met seksueel misbruik van kinderen (CSAM).
Het ministerie van Justitie (DOJ) schat dat de door SocksEscort gefaciliteerde misdaden hebben geresulteerd in miljoenen dollars aan verliezen voor Amerikaanse slachtoffers.
Hoe het botnet werkte
De malware die wordt gebruikt om SocksEscort aan te drijven, bekend als AVRecon, is in ieder geval sinds januari 2023 actief. Cyberbeveiligingsbedrijf Black Lotus Labs, dat het botnet volgde en de wetshandhaving assisteerde, merkte op dat het netwerk een piek bereikte van ongeveer 280.000 gecompromitteerde routers. Meer dan de helft van de geïnfecteerde apparaten bevond zich in de Verenigde Staten en Groot-Brittannië, waardoor deze apparaten bijzonder effectief waren voor gerichte aanvallen.
De verwijdering
Wetshandhavers namen de controle over de SocksEscort-website over en vervingen de inhoud door een bericht waarin de operatie werd aangekondigd. De geïnfecteerde routers zijn losgekoppeld van de dienst, maar experts waarschuwen dat er soortgelijke botnets kunnen ontstaan.
De verwijdering van SocksEscort demonstreert de toenemende verfijning van cybercriminaliteit en de uitdagingen bij de bestrijding ervan. Criminelen passen hun methoden voortdurend aan, waardoor internationale samenwerking en geavanceerde cyberbeveiligingsmaatregelen essentieel zijn voor de bescherming van individuen en bedrijven.
De ontmanteling van SocksEscort betekent een aanzienlijke klap voor cybercriminelen, maar de voortdurende dreiging van botnets onderstreept de noodzaak van waakzaamheid en verbeterde routerbeveiliging onder gebruikers.
