MalwareCyberkriminalitätIoT-Sicherheit

SocksEscort-Netzwerk zerschlagen: US und Europol stoppen massive Botnetz-Operation

SocksEscort-Netzwerk zerschlagen: US und Europol stoppen massive Botnetz-Operation
Zusammenfassung

Schlag gegen globales Cyberkriminalitätsnetzwerk: US-amerikanische und europäische Strafverfolgungsbehörden haben am Mittwoch das SocksEscort-Proxy-Netzwerk zerschlagen – eine Plattform, die tausenden Cyberkriminellen Zugang zu infizierten Privatroutern bot. Über das Netzwerk konnten illegale Akteure ihre digitale Identität verschleiern und ihre Aktivitäten hinter gehackten Routern verbergen. Die Ermittlungen zeigen, dass SocksEscort von 2020 bis 2026 etwa 369.000 verschiedene IP-Adressen in 163 Ländern anbot – davon allein 2.500 in den USA. Die Kriminellen nutzten das Netzwerk unter anderem für Betrugsfälle bei Arbeitslosenversicherungen, Kryptowährungsraube und Bankkontoübernahmen. Bei der Aktion wurden 34 Domains beschlagnahmt, 23 Server in sieben Ländern heruntergefahren und 3,5 Millionen Dollar an Kryptowährungen gefroren. Betroffen sind auch deutsche Nutzer und Unternehmen, da das verwendete AVRecon-Malware etwa 1.200 Router-Modelle von TP-Link, Netgear und anderen Herstellern infizierte – viele davon in deutschen Haushalten und Büros. Die Ermittlungen unter Beteiligung deutscher Behörden unterstreichen die wachsende Zusammenarbeit der internationalen Strafverfolgung gegen organisierte Cyberkriminalität.

Die Zerschlagung des SocksEscort-Netzwerks markiert einen Erfolg im internationalen Kampf gegen organisierte Cyberkriminalität. Das Proxy-Netzwerk fungierte als digitale Vermittlungsplattform: Kriminelle kauften Zugang zu kompromittierten Routern, um ihre eigenen Aktivitäten zu verschleiern und ihre IP-Adressen zu verbergen. Dies ermöglichte ihnen, Verbrechen zu begehen, ohne leicht identifiziert zu werden.

Die Operation selbst ist beeindruckend in ihrer Koordination. Behörden aus mindestens sieben Ländern waren beteiligt – darunter Österreich, Frankreich und die Niederlande, die Server beschlagnahmen, sowie Bulgarien, Deutschland, Ungarn und Rumänien, die bei den Ermittlungen halfen. Das FBI beschlagnahmte 34 Domains und nahm 23 Server offline. Amerikanische Behörden froren zudem Kryptowährungen im Wert von 3,5 Millionen Dollar ein.

Besonders bemerkenswert ist die technische Dimension: Das Netzwerk nutzte die AVRecon-Malware, um etwa 1.200 verschiedene Router-Modelle zu infizieren. Hersteller wie TP-Link, Netgear, Cisco, D-Link, Hikvision, MikroTik und Zyxel waren betroffen. Black Lotus Labs, ein Sicherheitsunternehmen, dokumentierte, dass das Botnetz durchschnittlich 20.000 Opfer pro Woche hatte und über etwa 15 Command-and-Control-Server gesteuert wurde.

Was das Netzwerk besonders gefährlich machte: Die Opfer ahnten zumeist nichts von der Kompromittierung. Ihre Router wurden stillschweigend für kriminelle Aktivitäten genutzt – von betrügerischen Arbeitslosenversicherungsansprüchen über Kryptowährungsdiebstähle bis hin zu Bankkontoübernahmen.

Das FBI gab an, dass SocksEscort 124.000 registrierte Nutzer hatte. Diese Nutzer können sich nun womöglich selbst in den beschlagnahmten Servern vorgestellt sehen. Europol betont, dass solche Proxy-Dienste Kriminellen die nötige “digitale Tarnung” bieten, um Angriffe zu starten und Verfolgung zu vermeiden.

Die Operation steht in einer Serie verstärkter Botnet-Zerschlagungen seit 2021. QakBot, 911 S5, IPStorm und andere wurden bereits durch Behörden attackiert. Diese Entwicklung zeigt: Internationale Zusammenarbeit macht es Cyberkriminellen zunehmend schwerer, ihre Operationen zu skalieren. Deutsche Nutzer sollten ihre Router regelmäßig aktualisieren und mit aktuellen Firmwares versehen – dies ist die beste Verteidigung gegen solche Malware.

Ähnliche Artikel