Глобальная коалиция отключила ботнет SocksEscort, связанный с миллионами цифровых мошенничеств и 369 000 маршрутизаторами

Скоординированная операция глобальной коалиции правоохранительных органов привела к демонтажу обширного ботнета, состоящего из десятков тысяч взломанных домашних и малых бизнес-маршрутизаторов. Акция, проведенная недавно, была нацелена на инфраструктуру, которая питала различную преступную деятельность в Интернете.

В центре внимания была сеть SocksEscort, которая продавала платные прокси-услуги. Эти сервисы основывались на взломанных маршрутизаторах и использовались для совершения ряда преступлений, включая взлом банковских и криптовалютных счетов, а также подачу мошеннических заявок на страхование по безработице.

По данным Министерства юстиции (DOJ), преступления, совершенные SocksEscort, нанесли гражданам убытки на миллионы долларов, в основном в США. Масштаб и финансовое влияние ботнета подчеркивают серьезность угрозы, которую он представляет для глобальной цифровой безопасности.

Анатомия преступной сети

Европол в своем официальном заявлении об инициативе подробно уточнил, что ботнет SocksEscort скомпрометировал более 369 000 маршрутизаторов и устройств Интернета вещей (IoT), расположенных в 163 странах. После вмешательства полиции зараженные маршрутизаторы были фактически отключены от незаконных услуг, что нейтрализовало операцию.

Европейское агентство подчеркнуло, что SocksEscort способствовала совершению тяжких преступлений. Среди незаконных действий выделяются атаки программ-вымогателей, которые блокируют доступ к данным до тех пор, пока не будет выплачен выкуп, и распределенные атаки типа «отказ в обслуживании» (DDoS), которые перегружают системы и веб-сайты, делая их недоступными. К сожалению, сеть также была связана с распространением материалов о сексуальном насилии над детьми (CSAM).

Клиенты криминальной службы платили за лицензии на эксплуатацию этих взломанных устройств, маскируя собственные IP-адреса и таким образом скрывая свою личность, одновременно участвуя в широком спектре противозаконных действий. Владельцы модемов, в свою очередь, остались совершенно не в курсе того, что их IP-адреса используются в противоправных целях, превращая их оборудование в части преступной машины.

Официальный сайт SocksEscort тут же был заменен на уведомление, подтверждающее арест платформы в рамках полицейской акции. Эта мера является стандартом операций по демонтажу крупных инфраструктур киберпреступников и служит публичным заявлением об успехе вмешательства.

Подробности и история операции

По состоянию на начало прошлого года ботнет имел около 280 000 маршрутизаторов и управлялся сложным вредоносным ПО, известным как AVRecon. Эту информацию раскрыла компания по кибербезопасности Black Lotus Labs, которая следила за SocksEscort и тесно сотрудничала с властями в операции по демонтажу преступной сети.

В сообщении, подробно описывающем закрытие, Black Lotus Labs подчеркнула, что ботнет представляет собой значительную угрозу. Его коммерциализация была предназначена исключительно для преступников, что указывает на инфраструктуру, специально разработанную для облегчения незаконной деятельности. Компания также отметила, что более половины жертв находились в США или Великобритании, что позволяло злоумышленникам проводить узконаправленные и высокоэффективные операции.

Leia Tambem

Samsung выпускает новое обновление системы с новыми функциями для пользователей Galaxy Watch 4

Значительная скидка на Galaxy S25 Plus снижает стоимость в интернет-магазине до уровня ниже 4500 реалов.

Слух предполагает, что Nintendo готовит специальное издание Switch 2 с ремейком Ocarina of Time

В предыдущих оценках, датированных 2023 годом, Black Lotus Labs уже оценила SocksEscort как один из крупнейших зарегистрированных ботнетов, нацеленных на маршрутизаторы для небольших офисов и домашних офисов (SOHO). Такая категоризация подчеркнула беспрецедентный масштаб угрозы и сложность стоящей за ней инфраструктуры. Журналист по кибербезопасности Брайан Кребс тогда сообщил, что SocksEscort изначально появился в 2009 году как русскоязычный сервис, предлагающий доступ к тысячам компьютеров, которые уже были взломаны.

Используемые механизмы и уязвимости

Ботнеты, такие как SocksEscort, используют распространенные уязвимости в сетевых устройствах, таких как маршрутизаторы, которые часто устанавливаются с заводскими паролями по умолчанию или не получают необходимых обновлений безопасности. Этот основной недостаток безопасности позволяет злоумышленникам получить контроль над этими устройствами, превращая их в «зомби» под центральным командованием оператора ботнета. После взлома маршрутизаторы могут использоваться для ретрансляции вредоносного трафика, маскируя реальное происхождение атак и затрудняя их отслеживание властям.

Использование маршрутизаторов SOHO особенно эффективно, поскольку эти устройства всегда подключены к сети и часто практически не контролируются безопасностью со стороны своих пользователей. Многие владельцы не меняют учетные данные доступа по умолчанию, не обновляют прошивку и не отслеживают необычную активность, создавая благодатную среду для распространения таких вредоносных программ, как AVRecon. Сеть зараженных устройств образует обширную распределенную инфраструктуру, идеально подходящую для запуска крупномасштабных атак, поскольку трафик может распределяться по сотням тысяч различных IP-адресов, что чрезвычайно усложняет обнаружение и блокировку.

Важность международного сотрудничества

Успех операции против SocksEscort подчеркивает растущую потребность в международном сотрудничестве между правоохранительными органами и компаниями, занимающимися кибербезопасностью. Глобальный характер киберпреступности требует столь же глобального реагирования, когда различные юрисдикции работают вместе, чтобы разрушить сети, действующие без физических границ. Сотрудничество позволяет обмениваться разведданными, ресурсами и техническим опытом, что имеет решающее значение для картирования инфраструктуры ботнетов и выявления ее операторов.

Подобные совместные действия не только подрывают текущие преступные операции, но и посылают киберпреступникам четкий сигнал: власти бдительны и способны координировать сложные усилия в международном масштабе. Эффективность реагирования зависит от способности действовать быстро, используя передовые технологии для отслеживания вредоносного ПО и его серверов управления и контроля, а затем выполнять физические или логические захваты, выводящие из строя сеть.

Профилактика и последующие шаги в области цифровой безопасности

Для пользователей деактивация SocksEscort служит суровым напоминанием о важности безопасности подключенных к Интернету устройств. Поддержание надежных уникальных паролей для маршрутизаторов, регулярное применение обновлений прошивки и мониторинг необычной сетевой активности — ключевые шаги для предотвращения использования вашего собственного оборудования ботнетами. Наблюдение является важным инструментом защиты от постоянных угроз киберпреступности.

Хотя устранение такого ботнета, как SocksEscort, является значительной победой, борьба с киберпреступностью еще далека от завершения. Постоянно появляются новые группы и инфраструктуры, которые адаптируют свою тактику и используют новые уязвимости. Работа правоохранительных органов и индустрии кибербезопасности по-прежнему имеет жизненно важное значение для защиты отдельных лиц, предприятий и правительств от постоянно развивающихся цифровых угроз.