Uma coalizão internacional de agências de segurança pública anunciou, na quarta-feira, a derrubada de uma grande botnet formada por dezenas de milhares de roteadores domésticos e corporativos de pequeno porte comprometidos por hackers.
A operação teve como alvo a SocksEscort, plataforma que vendia serviços de proxy pagos baseados em dispositivos invadidos. Segundo o United States Department of Justice, os equipamentos infectados eram usados para ocultar a identidade de criminosos em diferentes tipos de fraude online.
Entre as atividades facilitadas pelo serviço estavam invasões a contas bancárias e carteiras de criptomoedas, além da realização de pedidos fraudulentos de seguro-desemprego. De acordo com o órgão americano, os crimes geraram prejuízos de milhões de dólares para vítimas nos Estados Unidos.
Rede global de dispositivos comprometidos
A operação também contou com a participação da Europol, que informou que a botnet havia comprometido mais de 369 mil roteadores e dispositivos de Internet das Coisas (IoT) espalhados por 163 países.
Segundo a agência, os dispositivos infectados foram desconectados da infraestrutura criminosa, interrompendo o funcionamento do serviço.
Além de fraudes financeiras, a rede era utilizada para:
- ataques de Distributed Denial-of-Service (DDoS)
- campanhas de ransomware
- distribuição de material de abuso sexual infantil (CSAM)
A Europol explicou que os clientes da plataforma pagavam licenças para usar os dispositivos infectados como intermediários digitais, mascarando seus próprios endereços IP ao executar atividades ilegais.
Como consequência, os proprietários dos roteadores comprometidos geralmente não tinham conhecimento de que seus equipamentos estavam sendo usados para crimes online.
Infraestrutura apreendida
Durante a operação, o site oficial da SocksEscort foi substituído por uma página informando que a infraestrutura havia sido apreendida pelas autoridades.
Investigações conduzidas pela empresa de cibersegurança Black Lotus Labs indicam que a botnet vinha crescendo rapidamente. Em janeiro deste ano, a rede já contava com cerca de 280 mil roteadores comprometidos.
A infecção dos dispositivos ocorria por meio de um malware chamado AVRecon, responsável por transformar os equipamentos em nós da rede criminosa.
Em análise publicada após a operação, pesquisadores da Black Lotus Labs destacaram que a botnet representava uma ameaça significativa por ser comercializada exclusivamente para atividades criminosas.
Mais da metade dos dispositivos comprometidos estavam localizados nos Estados Unidos e no Reino Unido, permitindo que os criminosos realizassem ataques direcionados nessas regiões.
Uma das maiores botnets recentes
Em 2023, a própria Black Lotus Labs classificou a SocksEscort como uma das maiores botnets focadas em roteadores de pequenos escritórios e residências (SOHO) observadas nos últimos anos.
O jornalista de segurança Brian Krebs já havia relatado que o serviço surgiu em 2009, originalmente como uma plataforma em língua russa que vendia acesso a milhares de computadores comprometidos.
A história dessa botnet ilustra um detalhe curioso da internet moderna: o dispositivo mais banal da casa — o roteador Wi-Fi que fica piscando num canto — pode virar um soldado involuntário em uma guerra digital global. Quando malware assume o controle, aquela caixinha discreta deixa de ser apenas um roteador e vira parte de um exército invisível espalhado pelo planeta.
