As agências de aplicação da lei em todo o mundo desmantelaram com sucesso o SocksEscort, um importante botnet criminoso composto por dezenas de milhares de roteadores comprometidos. A operação, que envolveu vários países, encerrou efetivamente uma rede utilizada para uma vasta gama de atividades ilegais, incluindo fraude financeira, ataques DDoS e distribuição de conteúdos ilegais.
A escala da ameaça
O SocksEscort operava infectando roteadores domésticos e de pequenas empresas, transformando-os em proxies involuntários para criminosos. De acordo com a Europol, a botnet comprometeu mais de 369.000 roteadores e dispositivos IoT em 163 países. As vítimas não sabiam que seus dispositivos estavam sendo explorados. O serviço cobrava dos criminosos o acesso a essas máquinas infectadas, permitindo-lhes mascarar seus endereços IP e realizar ataques sem fácil rastreabilidade.
Atividades criminosas facilitadas por SocksEscort
A botnet possibilitou um espectro de crimes cibernéticos:
- Fraude Financeira: Hackear contas bancárias e criptomoedas.
- Fraude de desemprego: Apresentação de reivindicações fraudulentas para ganho financeiro.
- Ataques de ransomware: implantação de malware para extorsão.
- Ataques DDoS: Interrupção de serviços devido ao tráfego intenso.
- Distribuição de conteúdo ilegal: Hospedagem e distribuição de material de abuso sexual infantil (CSAM).
O Departamento de Justiça (DOJ) estima que os crimes facilitados pelo SocksEscort resultaram em perdas de milhões de dólares para as vítimas americanas.
Como o botnet operava
O malware usado para alimentar o SocksEscort, conhecido como AVRecon, está ativo pelo menos desde janeiro de 2023. A empresa de segurança cibernética Black Lotus Labs, que rastreou a botnet e auxiliou a aplicação da lei, observou que a rede atingiu o pico em cerca de 280.000 roteadores comprometidos. Mais de metade dos dispositivos infectados estavam localizados nos Estados Unidos e no Reino Unido, o que o torna particularmente eficaz para ataques direcionados.
A Queda
As autoridades tomaram o controle do site SocksEscort, substituindo seu conteúdo por um aviso anunciando a operação. Os roteadores infectados foram desconectados do serviço, mas especialistas alertam que podem surgir botnets semelhantes.
A derrubada do SocksEscort demonstra a crescente sofisticação do crime cibernético e os desafios no seu combate. Os criminosos adaptam constantemente os seus métodos, tornando a cooperação internacional e as medidas avançadas de cibersegurança essenciais para proteger indivíduos e empresas.
O desmantelamento do SocksEscort representa um golpe significativo para os cibercriminosos, mas a ameaça contínua das botnets sublinha a necessidade de vigilância e de melhoria da segurança dos routers entre os utilizadores.
