Правоохранительные органы по всему миру успешно ликвидировали SocksEscort – крупную преступную ботнет-сеть, состоящую из десятков тысяч взломанных роутеров. Операция, в которой участвовали несколько стран, эффективно уничтожила сеть, использовавшуюся для широкого спектра незаконной деятельности, включая финансовое мошенничество, DDoS-атаки и распространение нелегального контента.
Масштаб угрозы
SocksEscort функционировала путем заражения домашних и небольших бизнес-роутеров, превращая их в неосознанных прокси для преступников. По данным Европола, ботнет взломал более 369 000 роутеров и IoT-устройств в 163 странах. Жертвы не подозревали, что их устройства эксплуатируются. Сервис взимал плату с преступников за доступ к этим зараженным машинам, позволяя им маскировать свои IP-адреса и осуществлять атаки без легкой отслеживаемости.
Преступная деятельность, облегчаемая SocksEscort
Ботнет обеспечивал широкий спектр киберпреступлений:
- Финансовое мошенничество: Взлом банковских и криптовалютных аккаунтов.
- Мошенничество с пособием по безработице: Подача мошеннических заявок для получения финансовой выгоды.
- Атаки программ-вымогателей: Развертывание вредоносного ПО для вымогательства.
- DDoS-атаки: Нарушение работы сервисов путем перегрузки трафиком.
- Распространение нелегального контента: Размещение и распространение материалов с детской сексуальной эксплуатацией (CSAM).
Министерство юстиции (DOJ) оценивает, что преступления, облегчаемые SocksEscort, привели к миллионам долларов убытков для американских жертв.
Как работала ботнет-сеть
Вредоносное ПО, используемое для работы SocksEscort, известное как AVRecon, было активно как минимум с января 2023 года. Компания Black Lotus Labs, занимающаяся кибербезопасностью, которая отслеживала ботнет и помогала правоохранительным органам, отметила, что сеть достигла пика примерно в 280 000 взломанных роутеров. Более половины зараженных устройств находились в Соединенных Штатах и Соединенном Королевстве, что делало ее особенно эффективной для целевых атак.
Ликвидация
Правоохранительные органы взяли под контроль веб-сайт SocksEscort, заменив его контент уведомлением об операции. Зараженные роутеры были отключены от сервиса, но эксперты предупреждают, что аналогичные ботнет-сети могут появиться снова.
Ликвидация SocksEscort демонстрирует растущую изощренность киберпреступности и трудности в борьбе с ней. Преступники постоянно адаптируют свои методы, что делает международное сотрудничество и передовые меры кибербезопасности необходимыми для защиты частных лиц и предприятий.
Ликвидация SocksEscort наносит серьезный удар по киберпреступникам, но сохраняющаяся угроза со стороны ботнет-сетей подчеркивает необходимость бдительности и повышения безопасности роутеров среди пользователей.
