MalwareHackerangriffeIoT-Sicherheit

SocksEscort-Proxy-Dienst zerschlagen: 360.000 Geräte von AVrecon-Botnet befreit

SocksEscort-Proxy-Dienst zerschlagen: 360.000 Geräte von AVrecon-Botnet befreit
Zusammenfassung

Behörden in den USA und Europa haben einen bedeutenden Schlag gegen die Cyberkriminalität gelandet: Das kriminelle Proxy-Netzwerk SocksEscort wurde zerschlagen, das seit 2020 etwa 360.000 Geräte weltweit infiziert hatte. Der Service, angetrieben durch das AVrecon-Botnet, ermöglichte Cyberkriminellen, ihre Identität zu verschleiern und Sicherheitssysteme zu umgehen – und wurde für schwerwiegende Verbrechen wie DDoS-Attacken, Ransomware-Anschläge und die Verbreitung von Missbrauchsmaterial missbraucht. Bei der koordinierten Aktion wurde ein Netzwerk aus kompromittierten Routern und IoT-Geräten aus 163 Ländern stillgelegt, über 34 Domains beschlagnahmt und 3,5 Millionen US-Dollar in Kryptowährungen eingefroren. Besonders relevant für deutsche Nutzer und Unternehmen: Das AVrecon-Malware betrifft Router und Netzwerkgeräte populärer Hersteller wie Cisco, D-Link, TP-Link, MicroTik und Zyxel – Geräte, die in deutschen Haushalten und Büros weit verbreitet sind. Millionen Router könnten durch bekannte Sicherheitslücken gefährdet sein, und Infizierungen könnten ohne Wissen der Besitzer für illegale Aktivitäten genutzt worden sein. Der Fall unterstreicht die kritische Notwendigkeit regelmäßiger Firmware-Updates und Sicherheitsmaßnahmen für IoT-Geräte im privaten und geschäftlichen Umfeld.

Die Zerschlagung von SocksEscort markiert einen bedeutenden Erfolg im Kampf gegen organisierte Cyberkriminalität. Europol und das US-Justizministerium koordinierten die Aktion, bei der Behörden 34 Domains beschlagnahmten, 23 Server in sieben Ländern offline nahmen und Kryptowährungen im Wert von 3,5 Millionen US-Dollar einfroren.

Die Dimensionen des Schadens sind erheblich: Seit 2020 nutzte SocksEscort etwa 363.000 unterschiedliche IP-Adressen aus 163 Ländern. Im Februar 2026, kurz vor der Zerschlagung, waren etwa 8.000 gehackte Router aktiv — davon 2.500 in den USA. Im Schnitt verband der Service wöchentlich etwa 20.000 infizierte Geräte und leitete deren Daten durch durchschnittlich 15 Command-and-Control-Server weiter. Kunden zahlten insgesamt über 5,7 Millionen Dollar für Zugang zum Proxy-Service.

Im Zentrum der Operation stand die AVrecon-Malware, die das FBI nun öffentlich analysiert hat. Die Schadsoftware zielt auf etwa 1.200 Router-Modelle von namhaften Herstellern ab: Cisco, D-Link, Hikvision, MikroTik, Netgear, TP-Link und Zyxel. Besonders besorgniserregend sind kritische Sicherheitslücken wie Remote Code Execution (RCE) und Command-Injection-Schwachstellen, die Angreifer zur Botnet-Expansion nutzten.

Für deutsche Nutzer und Unternehmen ergibt sich eine klare Handlungsempfehlung: Router und IoT-Geräte sollten sofort auf Firmware-Updates überprüft werden. Das FBI hat detaillierte Indikatoren für Kompromittierung (IoCs) und Sicherheitsempfehlungen zur Verfügung gestellt. Besitzer der genannten Geräte sollten ihre Netzwerke auf Infektionen scannen und sich bei Verdacht an Hersteller oder Sicherheitsdienstleister wenden.

Die Operation zeigt auch, dass trotz regelmäßiger Sicherheitslücken viele Geräte weltweit ungepatcht laufen. Heimnetzwerk-Infrastruktur wird oft unterschätzt — dabei öffnet sie Cyberkriminellen die Tür zu Unternehmensnetzen und persönlichen Daten. Die erfolgreiche internationale Koordination zwischen FBI, Europol und Lumen Technologies’ Black Lotus Labs bietet jedoch Hoffnung, dass weitere Botnetze folgen könnten.

Ähnliche Artikel