Uma coalizão global de agências de aplicação da lei fechou uma botnet composta por dezenas de milhares de roteadores residenciais e de pequenas empresas hackeados na quarta-feira.
A operação teve como alvo o SocksEscort, que oferecia serviços de proxy pagos e foi construído em uma botnet de roteadores hackeados usados para cometer vários crimes, como invadir contas bancárias e criptomoedas das vítimas, e para registrar reivindicações fraudulentas de seguro-desemprego, de acordo com um anúncio publicado na quinta-feira pelo Departamento de Justiça. O DOJ disse que os crimes facilitados pelo SocksEscort custaram milhões de dólares aos americanos.
A Europol disse no anúncio da operação que o botnet SocksEscort supostamente comprometeu mais de 369.000 roteadores e dispositivos de Internet das Coisas em 163 países, e que os roteadores infectados “foram desconectados do serviço”. A agência de aplicação da lei disse que o SocksEscort foi usado para facilitar ransomware, ataques distribuídos de negação de serviço (DDoS) e distribuição de material de abuso sexual infantil (CSAM).
“Os clientes do serviço criminal pagaram por licenças para abusar destes dispositivos infectados, ocultando os seus endereços IP originais para se envolverem em diversas actividades criminosas”, disse a Europol. “Após a infecção pelo malware, os proprietários dos modems não saberiam que seus endereços IP foram usados para atividades ilegítimas.”
O conteúdo do site oficial do SocksEscort foi substituído por um aviso anunciando a apreensão, como parte da operação de aplicação da lei.
A botnet era composta por cerca de 280 mil roteadores desde janeiro passado e era alimentada por um malware chamado AVRecon, de acordo com a segurança cibernética do Black Lotus Labs, que rastreou o SocksEscort e trabalhou com as autoridades na operação de remoção.
“Essa botnet representava uma ameaça significativa, pois era comercializada exclusivamente para criminosos”, escreveu a empresa em seu post sobre a remoção. “Notavelmente, mais de metade das suas vítimas estavam localizadas nos Estados Unidos ou no Reino Unido, permitindo que os atacantes conduzissem operações altamente direcionadas.”
Em 2023, o Black Lotus Labs chamou o SockEscort de “um dos maiores botnets direcionados a roteadores para pequenos escritórios/escritórios domésticos (SOHO) vistos na história recente”.
Na época, o jornalista de segurança cibernética Brian Krebs relatou que o SocksEscort nasceu em 2009 como um serviço em russo que vendia acesso a milhares de computadores hackeados.
