Réseau de serveurs proxy démantelé : 369 000 routeurs piratés mis hors ligne lors d'une opération contre la fraude cryptographique

Les autorités américaines et européennes ont démantelé Socksescort, un réseau de proxys résidentiels alimenté par le malware AVRecon qui avait discrètement détourné plus de 369 000 appareils dans 163 pays. Opérationnel depuis 2020, ce service vendait l'accès à des routeurs domestiques infectés, permettant ainsi aux criminels de masquer leurs adresses IP tout en procédant à des piratages de comptes de cryptomonnaie, des fraudes bancaires, des attaques par ransomware et d'autres escroqueries.

Les victimes auraient perdu des millions, dont 1 million de dollars pour un investisseur en cryptomonnaies de New York et 700 000 dollars pour une entreprise de Pennsylvanie. Au cours de l’« Opération Lightning », les autorités ont saisi 34 domaines, fermé 23 serveurs dans sept pays, gelé 3,5 millions de dollars de paiements en cryptomonnaies et déconnecté des milliers d’appareils infectés du réseau. Cette opération a mobilisé le ministère américain de la Justice (DOJ), le FBI, le service des enquêtes criminelles de l’IRS, Europol, Eurojust et plusieurs agences européennes chargées de l’application de la loi. Les enquêteurs affirment que ce service a généré environ 5,7 millions de dollars pour ses opérateurs, tout en exposant quelque 124 000 utilisateurs de proxys qui comptaient sur l’anonymat offert par le botnet.

Les autorités estiment que les preuves issues des serveurs saisis pourraient déboucher sur de nouvelles poursuites. Les responsables ont également averti que les routeurs compromis restaient un point faible de la cybersécurité mondiale, exhortant les propriétaires à mettre à jour leur micrologiciel, à sécuriser leurs appareils et à remplacer le matériel obsolète. Selon les experts, le démantèlement du réseau élimine un outil clé utilisé pour dissimuler les opérations de ransomware, les attaques DDoS et les fraudes liées aux cryptomonnaies menées via une infrastructure de proxys résidentiels.

FAQ 🔎

• Qu'était le réseau de proxys Socksescort ? Socksescort était un service de proxys résidentiels utilisant le malware AVRecon pour détourner plus de 369 000 routeurs et appareils IoT afin de permettre un accès anonyme à Internet.
• Qui a coordonné le démantèlement de Socksescort ? Le DOJ, le FBI, l'IRS-CI, Europol, Eurojust et les forces de l'ordre européennes ont collaboré dans le cadre de l'opération Lightning.
• Quelle quantité de cryptomonnaie a été saisie lors de l'opération ? Les autorités ont gelé environ 3,5 millions de dollars en cryptomonnaie liés aux paiements versés aux opérateurs du service de proxy.
• Comment AVRecon a-t-il infecté des routeurs dans le monde entier ? AVRecon a exploité les vulnérabilités de routeurs obsolètes ou mal sécurisés, les ajoutant discrètement à un botnet de proxys mondial.