Organom ścigania na całym świecie udało się zlikwidować SocksEscort, dużą przestępczą sieć botnetów składającą się z dziesiątek tysięcy zhakowanych routerów. W ramach operacji obejmującej wiele krajów skutecznie zniszczono sieć wykorzystywaną do szerokiego zakresu nielegalnych działań, w tym oszustw finansowych, ataków DDoS i dystrybucji nielegalnych treści.
Zakres zagrożenia
SocksEscort działał w oparciu o infekowanie routerów domowych i małych firm, zamieniając je w nieświadome serwery proxy dla przestępców. Według Europolu botnet zhakował ponad 369 000 routerów i urządzeń IoT w 163 krajach. Ofiary nie były świadome, że ich urządzenia są wykorzystywane. Usługa pobierała od przestępców opłaty za dostęp do zainfekowanych maszyn, umożliwiając im maskowanie adresów IP i przeprowadzanie ataków bez łatwego wykrycia.
Działalność przestępcza wspomagana przez SocksEscort
Botnet umożliwił szeroką gamę cyberprzestępstw:
- Oszustwa finansowe: Włamania na konta bankowe i kryptowalutowe.
- Oszustwo związane z bezrobociem: składanie fałszywych wniosków w celu uzyskania korzyści finansowych.
- Ataki ransomware: wdrażanie złośliwego oprogramowania w celu wymuszenia.
- Ataki DDoS: Zakłócenia usług poprzez przeciążenie ruchu.
- Dystrybucja treści nielegalnych: Publikowanie i dystrybucja materiałów związanych z wykorzystywaniem seksualnym dzieci (CSAM).
Departament Sprawiedliwości (DOJ) szacuje, że przestępstwa ułatwiane przez SocksEscort przyniosły amerykańskim ofiarom milionowe straty.
Jak działała sieć botnet
Szkodliwe oprogramowanie wykorzystywane do obsługi SocksEscort, znane jako AVRecon, jest aktywne co najmniej od stycznia 2023 r. Black Lotus Labs, firma zajmująca się bezpieczeństwem cybernetycznym, która śledzi botnet i pomaga organom ścigania, odnotowała, że szczyt sieci obejmował około 280 000 zaatakowanych routerów. Ponad połowa zainfekowanych urządzeń znajdowała się w Stanach Zjednoczonych i Wielkiej Brytanii, co czyni je szczególnie skutecznymi w przypadku ataków ukierunkowanych.
Likwidacja
Organy ścigania przejęły kontrolę nad witryną SocksEscort, zastępując jej treść powiadomieniem o transakcji. Zainfekowane routery zostały wyłączone z działania, ale eksperci ostrzegają, że podobne sieci botnetów mogą pojawić się ponownie.
Likwidacja SocksEscort pokazuje rosnące wyrafinowanie cyberprzestępczości i trudności w jej zwalczaniu. Przestępcy stale dostosowują swoje techniki, przez co współpraca międzynarodowa i zaawansowane środki cyberbezpieczeństwa są niezbędne do ochrony osób fizycznych i przedsiębiorstw.
Likwidacja SocksEscort to poważny cios dla cyberprzestępców, ale ciągłe zagrożenie ze strony sieci botnetów uwydatnia potrzebę zachowania przez użytkowników czujności i poprawy bezpieczeństwa routerów.
