Proxy-netwerk ontmanteld: 369.000 gehackte routers offline gehaald bij inval tegen cryptofraude

Amerikaanse en Europese autoriteiten hebben Socksescort ontmanteld, een residentieel proxynetwerk aangedreven door AVRecon-malware dat stilletjes meer dan 369.000 apparaten in 163 landen had gekaapt. De dienst, die sinds 2020 actief was, verkocht toegang tot geïnfecteerde thuisrouters, waardoor criminelen hun IP-adressen konden verhullen terwijl ze cryptocurrency-accounts overnamen, bankfraude pleegden, ransomware-aanvallen uitvoerden en andere praktijken uitvoerden.

Slachtoffers zouden miljoenen hebben verloren, waaronder 1 miljoen dollar van een crypto-investeerder uit New York en 700.000 dollar van een bedrijf uit Pennsylvania. Tijdens “Operation Lightning” hebben functionarissen 34 domeinen in beslag genomen, 23 servers in zeven landen uitgeschakeld, 3,5 miljoen dollar aan cryptocurrency-betalingen bevroren en duizenden geïnfecteerde apparaten van het netwerk losgekoppeld. Bij de actie waren het Amerikaanse ministerie van Justitie (DOJ), de FBI, de IRS Criminal Investigation, Europol, Eurojust en verschillende Europese wetshandhavingsinstanties betrokken. Onderzoekers zeggen dat de dienst ongeveer 5,7 miljoen dollar voor de exploitanten heeft opgeleverd, terwijl ongeveer 124.000 proxygebruikers werden ontmaskerd die vertrouwden op de anonimiteit van het botnet.

De autoriteiten zijn van mening dat bewijsmateriaal van in beslag genomen servers kan leiden tot verdere vervolging. Ambtenaren waarschuwden ook dat gecompromitteerde routers een zwakke plek blijven in de wereldwijde cyberbeveiliging, en drongen er bij eigenaren op aan om firmware bij te werken, apparaten te beveiligen en verouderde hardware te vervangen. Deskundigen zeggen dat het ontmantelen van het netwerk een belangrijk instrument wegneemt dat wordt gebruikt om ransomware-operaties, DDoS-aanvallen en crypto-gerelateerde fraude te verbergen die via residentiële proxy-infrastructuur worden uitgevoerd.

Veelgestelde vragen 🔎

• Wat was het Socksescort-proxynetwerk? Socksescort was een residentiële proxyservice die AVRecon-malware gebruikte om meer dan 369.000 routers en IoT-apparaten te kapen voor anonieme internettoegang.
• Wie coördineerde de ontmanteling van Socksescort? Het Amerikaanse ministerie van Justitie (DOJ), de FBI, de IRS-CI, Europol, Eurojust en Europese wetshandhavingsinstanties werkten samen in Operatie Lightning.
• Hoeveel cryptovaluta is er tijdens de operatie in beslag genomen? De autoriteiten hebben ongeveer 3,5 miljoen dollar aan cryptovaluta bevroren die verband hield met betalingen aan de exploitanten van de proxyservice.
• Hoe heeft AVRecon routers wereldwijd geïnfecteerd? AVRecon maakte misbruik van kwetsbaarheden in verouderde of slecht beveiligde routers en voegde deze stilletjes toe aan een wereldwijd proxy-botnet.