Crypto-fraudenetwerk SocksEscort opgerold: miljoenen aan crypto in beslag genomen
Internationale opsporingsdiensten hebben een groot netwerk achter crypto fraude en online accountdiefstal uitgeschakeld. Het netwerk, bekend als SocksEscort, gaf cybercriminelen een manier om hun digitale identiteit te verbergen terwijl ze onder andere cryptorekeningen aanvielen.
Tijdens de operatie namen autoriteiten tientallen servers en domeinen over en bevroor men miljoenen dollars aan cryptocurrency. De actie was een samenwerking tussen Amerikaanse en Europese instanties en richtte zich op infrastructuur die al jaren door cybercriminelen werd gebruikt.
Wat was SocksEscort en waarom was het zo gevaarlijk?
SocksEscort functioneerde als een zogenoemde proxyservice. Zo’n dienst leidt internetverkeer via andere apparaten om, waardoor het echte IP-adres van een gebruiker verborgen blijft. Cybercriminelen gebruiken deze techniek om hun locatie te maskeren en moeilijker traceerbaar te worden.
In dit geval ging het nog een stap verder. Het netwerk maakte namelijk gebruik van gehackte routers en andere internetapparaten. Onderzoekers ontdekten dat minstens 369.000 apparaten in 163 landen waren geïnfecteerd met malware. Daardoor konden criminelen deze apparaten gebruiken als tussenstation voor hun internetverkeer.
Wanneer een aanval werd uitgevoerd, leek het daardoor alsof het verkeer afkomstig was van een normaal huishouden of bedrijf. Dat maakte het voor onderzoekers veel lastiger om de daders te vinden.
De infrastructuur werd volgens justitie al sinds 2020 gebruikt voor verschillende vormen van cybercriminaliteit, waaronder bankfraude en het kapen van online accounts. In een zaak die aanklagers noemen verloor een slachtoffer uit New York ongeveer 1 miljoen dollar aan cryptocurrency nadat criminelen toegang kregen tot zijn account.
Criminelen betaalden met crypto voor anonieme toegang
Gebruikers van het netwerk konden toegang kopen via een speciale betaalomgeving. Daar betaalden ze met cryptocurrency, digitaal geld dat op een blockchain draait en zonder bank kan worden verstuurd.
Hoewel blockchaintransacties openbaar zijn, proberen criminelen crypto soms te gebruiken om hun identiteit te verhullen. Door wallets en verschillende diensten te combineren hopen ze betalingen moeilijker te traceren.
Volgens onderzoekers verdiende SocksEscort hiermee minstens 5 miljoen euro (ongeveer 5,7 miljoen dollar) aan inkomsten. Tijdens de internationale actie namen autoriteiten uiteindelijk 34 domeinen en ongeveer 23 servers in beslag. Daarnaast bevroor men ongeveer 3,5 miljoen dollar aan cryptocurrency die met het netwerk in verband stond.
Europol-directeur Catherine De Bolle benadrukte dat dit soort proxydiensten een belangrijk hulpmiddel vormt voor cybercriminelen. Door hun digitale identiteit te verbergen kunnen ze aanvallen uitvoeren, illegale activiteiten organiseren en opsporing ontwijken.
Bron: The Hacker News
Internationale samenwerking maakte ontmanteling mogelijk
De actie tegen SocksEscort kwam tot stand door samenwerking tussen meerdere landen. Politiediensten uit onder meer Nederland, Duitsland, Frankrijk, Oostenrijk, Hongarije, Roemenië en de Verenigde Staten werkten samen aan het onderzoek.
In de VS namen onder andere de FBI, de Defense Criminal Investigative Service en de IRS Criminal Investigation deel aan de operatie. Europol en Eurojust hielpen bij de internationale coördinatie en informatie-uitwisseling.
Ook private organisaties leverden belangrijke technische informatie. Zo hielpen Black Lotus Labs, de securityafdeling van telecombedrijf Lumen Technologies, en de Shadowserver Foundation bij het analyseren van de infrastructuur achter het netwerk.
Malware AVrecon speelde belangrijke rol
Onderzoekers denken dat het netwerk gebruikmaakte van malware met de naam AVrecon. Malware is schadelijke software die apparaten kan infecteren en op afstand laat aansturen.
Deze specifieke malware richt zich op routers en andere internetapparaten. Zodra een apparaat geïnfecteerd raakt, kan een aanvaller het gebruiken als onderdeel van een groter netwerk. Daardoor ontstaat een infrastructuur die criminelen gebruiken om verkeer om te leiden en hun echte locatie te verbergen.
Black Lotus Labs publiceerde in 2023 al technische details over AVrecon. Die informatie hielp onderzoekers uiteindelijk om het netwerk achter SocksEscort beter te begrijpen en op te sporen.
Wat betekent dit voor crypto-investeerders?
De ontmanteling van SocksEscort laat zien hoe cybercriminelen steeds geavanceerdere infrastructuur gebruiken om crypto te stelen. Vooral het kapen van accounts blijft een groot risico voor beleggers.
Beveiliging blijft daarom cruciaal. Denk aan sterke wachtwoorden, tweefactorauthenticatie en het bewaren van crypto in een eigen wallet wanneer dat mogelijk is.
De actie laat ook zien dat internationale samenwerking steeds beter werkt. Door data en onderzoek te combineren kunnen autoriteiten complexe cybernetwerken sneller opsporen en uitschakelen.
Conclusie
De internationale operatie tegen SocksEscort onderstreept hoe groot de rol van infrastructuur is in cybercriminaliteit. Door een netwerk van honderdduizenden geïnfecteerde apparaten konden criminelen jarenlang aanvallen uitvoeren zonder direct traceerbaar te zijn.
Met de inbeslagname van servers, domeinen en miljoenen aan crypto hebben opsporingsdiensten een belangrijke slag geslagen tegen deze vorm van digitale criminaliteit.
FAQ
Wat is een proxyservice?
Een proxyservice leidt internetverkeer via andere apparaten of servers. Daardoor wordt het echte IP-adres van de gebruiker verborgen. Cybercriminelen gebruiken dit soms om hun identiteit te verbergen tijdens illegale activiteiten.
Waarom gebruiken criminelen cryptocurrency?
Cryptocurrency kan zonder bank worden verstuurd tussen digitale wallets. Criminelen denken soms dat dit hen meer anonimiteit geeft, al kunnen blockchaintransacties in veel gevallen alsnog worden gevolgd.
Hoe beschermen crypto-investeerders zich tegen accountdiefstal?
Gebruik altijd tweefactorauthenticatie, sterke unieke wachtwoorden en bewaar grote bedragen bij voorkeur in een eigen wallet. Dat verkleint de kans dat criminelen via een gehackt account toegang krijgen tot je crypto.
