MalwareHackerangriffeCyberkriminalität

Operation Lightning: Internationale Behörden zerschlagen SocksEscort-Botnetz mit 369.000 kompromittierten IP-Adressen

Operation Lightning: Internationale Behörden zerschlagen SocksEscort-Botnetz mit 369.000 kompromittierten IP-Adressen
Zusammenfassung

Internationale Behörden haben in einer koordinierten Operation namens Lightning das kriminelle Proxy-Netzwerk SocksEscort zerschlagen, das seit 2020 etwa 369.000 infizierte Router in 163 Ländern zur Durchführung von Betrügereien missbrauchte. Das Netzwerk funktionierte durch die Malware AVrecon, die Router von Herstellern wie Cisco, D-Link, Netgear und TP-Link infizierte und Cyberkriminelle in die Lage versetzte, ihre illegalen Aktivitäten zu verschleiern. Betroffen von SocksEscort waren Privatpersonen, Kleinunternehmen und sogar U.S. Militärangehörige, die zusammen um Millionen betrogen wurden – Einzelne verloren bis zu einer Million Dollar in Kryptowährungen. Die Behörden aus acht Ländern, darunter Deutschland, stellten fest, dass das Netzwerk für Ransomware-Anschläge, DDoS-Attacken und die Verbreitung von Missbrauchsmaterial missbraucht wurde. Für Deutschland und seine Nutzer ist dies besonders besorgniserregend, da sich auch unter den 369.000 kompromittierten IP-Adressen deutsche Geräte befunden haben dürften. Deutsche Haushalte und Unternehmen könnten unwissentlich als Vermittler für Betrügereien gedient haben, ohne es zu bemerken. Die Aktion zeigt zugleich die Notwendigkeit, Heimnetzwerk-Geräte regelmäßig zu aktualisieren und auf Sicherheitswarnungen zu reagieren.

Das SocksEscort-Netzwerk nutzte die AVrecon-Malware, um Heimrouter und kleine Bürogeräte zu infiltrieren und in ein Botnetz zu verwandeln. Wie das US-Justizministerium mitteilte, infizierte die Schadsoftware Router mit kritischen Schwachstellen und ermöglichte es den Betreibern, Internet-Traffic durch die kompromittierten Geräte umzuleiten. Kunden konnten diese Proxy-Dienste anonym mit Kryptowährungen erwerben – das Zahlungssystem generierte Schätzungen zufolge mehr als fünf Millionen Euro an Einnahmen.

Die Infrastruktur war beeindruckend: Zum Zeitpunkt der Abschaltung im Februar 2026 waren etwa 8.000 Router im Netzwerk infiziert, davon allein 2.500 in den USA. Das Botnetz erreichte eine durchschnittliche Größe von etwa 20.000 kompromittierten Geräten pro Woche und nutzte durchschnittlich 15 Command-and-Control-Server zur Kommunikation.

Die AVrecon-Malware, die Sicherheitsforschern von Lumen Black Lotus Labs bereits im Juli 2023 dokumentiert wurde, zielt auf etwa 1.200 Router-Modelle von Herstellern wie Cisco, D-Link, Hikvision, MikroTik, Netgear, TP-Link und Zyxel ab. Besonders tückisch: Die Täter nutzten das integrierte Update-Mechanism der Router, um Custom-Firmware mit der Malware zu installieren. Diese manipulierte Firmware deaktivierte die Update- und Flashfunktionen der Geräte, was zu permanenten Infektionen führte.

Die Auswirkungen waren gravierend. Europol zufolge wurden die kompromittierten Router nicht nur für Betrugsfälle genutzt, sondern auch für Ransomware-Attacken, DDoS-Anschläge und die Verbreitung von Kindesmissbrauchsmaterial. Dokumentierte Opfer reichen von einem Kryptobörsen-Kunden in New York, der eine Million Dollar verlor, bis zu US-Soldaten, denen zusammen 100.000 Dollar gestohlen wurde.

Die Operation Lightning markiert einen Meilenstein in der internationalen Cyberkriminalitätsbekämpfung. Die beteiligten Behörden gefrier über 3,5 Millionen Dollar in Kryptowährungen und schalteten die dahinterliegende Infrastruktur aus. Für Nutzer und Unternehmen ist die Botschaft klar: Router sollten regelmäßig aktualisiert werden, Standard-Passwörter gehören der Vergangenheit an, und verdächtige Netzwerkaktivitäten sind ernst zu nehmen.

Ähnliche Artikel