MÜNCHEN (IT BOLTWISE) – Ein neues Kapitel in der Welt der Cyberkriminalität wird aufgeschlagen: Das bösartige Botnetz Socks5Systemz treibt einen illegalen Proxy-Dienst an, der über 85.000 gehackte Geräte nutzt.
- Unsere KI-News von IT Boltwise® bei LinkedIn abonnieren!
- AI Morning Podcast bei Spotify / Amazon / Apple verfolgen!
- KI-Meldungen bequem via Telegram oder per Newsletter erhalten!
- IT Boltwise® bei Facebook als Fan markieren und abonnieren!
- RSS-Feed 2.0 von IT Boltwise® für KI-News speichern!
Das Botnetz Socks5Systemz, das von Bitsight entdeckt wurde, ist ein Paradebeispiel für die zunehmende Komplexität und Raffinesse in der Cyberkriminalität. Dieses Botnetz unterstützt den Proxy-Dienst PROXY.AM, indem es kompromittierte Systeme als Proxy-Ausgangsknoten nutzt. Diese Knoten werden dann an andere Akteure vermarktet, die ihre Angriffe verschleiern möchten. Die Malware, die ursprünglich im Jahr 2013 in der Cyberkriminalitätsszene beworben wurde, wurde bereits in Verbindung mit Angriffen dokumentiert, die PrivateLoader, SmokeLoader und Amadey verbreiten.
Der Hauptzweck von Socks5Systemz besteht darin, kompromittierte Systeme in Proxy-Ausgangsknoten zu verwandeln. Diese werden dann an Cyberkriminelle vermietet, die ihre Aktivitäten anonymisieren möchten. Der illegale Proxy-Dienst existiert seit 2016 und hat sich in Ländern wie Indien, Indonesien, der Ukraine und vielen anderen verbreitet. Trotz eines Rückgangs der Botnetzgröße auf 85.000 bis 100.000 Maschinen, behauptet PROXY.AM, über 80.888 Proxy-Knoten in 31 Ländern zu verfügen.
Im Dezember 2023 verlor der Bedrohungsakteur die Kontrolle über Socks5Systemz V1 und musste das Botnetz mit einer neuen Infrastruktur, genannt Socks5Systemz V2, neu aufbauen. Dies führte zu einem Rückgang der Botnetzgröße. Da Socks5Systemz von Loaders wie Privateloader und SmokeLoader verbreitet wird, wurden neue Verteilungskampagnen gestartet, um alte Infektionen mit neuen Nutzlasten zu ersetzen.
PROXY.AM bietet seine Dienste als “elite, private und anonyme Proxy-Server” an, mit Preisen zwischen 126 US-Dollar pro Monat für das Unlimited Pack und 700 US-Dollar pro Monat für das VIP Pack. Diese Enthüllung folgt einem Bericht von Trend Micro, der die Versuche von Bedrohungsakteuren beschreibt, falsch konfigurierte Docker Remote API-Server mit Gafgyt-Botnetz-Malware anzugreifen, um DDoS-Angriffe durchzuführen.
Die Gafgyt-Malware, bekannt für Angriffe auf IoT-Geräte, zeigt eine Erweiterung ihres Zielspektrums durch die Ausnutzung schwacher SSH-Passwörter und Docker-Instanzen. Angreifer nutzen öffentlich zugängliche, falsch konfigurierte Docker-Remote-API-Server, um die Malware zu verbreiten, indem sie einen Docker-Container auf Basis eines legitimen ‘alpine’-Docker-Images erstellen.
Cloud-Fehlkonfigurationen haben sich als attraktive Angriffsfläche für Bedrohungsakteure erwiesen, die Kryptowährungs-Miner einsetzen, Daten stehlen oder Botnetze für DDoS-Angriffe nutzen. Eine empirische Analyse von Forschern der Universität Leiden und der TU Delft ergab, dass 215 Instanzen sensible Anmeldedaten preisgaben, die Angreifern unbefugten Zugriff auf Dienste wie Datenbanken und Cloud-Infrastrukturen gewähren könnten.
Diese Erkenntnisse unterstreichen die dringende Notwendigkeit einer besseren Systemadministration und einer wachsamen Überwachung, um Datenlecks zu verhindern. Die Auswirkungen solcher Lecks können enorm sein, von der vollständigen Kontrolle über die Sicherheitsinfrastruktur von Organisationen bis hin zur Identitätsübernahme und Infiltration in geschützte Cloud-Infrastrukturen.
Hinweis: Teile dieses Textes könnten mithilfe Künstlicher Intelligenz generiert worden sein. Die auf dieser Website bereitgestellten Informationen stellen keine Finanzberatung dar und sind nicht als solche gedacht. Die Informationen sind allgemeiner Natur und dienen nur zu Informationszwecken. Wenn Sie Finanzberatung für Ihre individuelle Situation benötigen, sollten Sie den Rat von einem qualifizierten Finanzberater einholen. IT BOLTWISE® schließt jegliche Regressansprüche aus.
Ergänzungen und Infos bitte an die Redaktion per eMail an de-info[at]it-boltwise.de. Bitte vergiss nicht in deiner eMail die Artikel-Headline zu nennen: "Socks5Systemz: Botnetz nutzt 85.000 gehackte Geräte für illegale Proxy-Dienste".
Du hast einen wertvollen Beitrag oder Kommentar zum Artikel "Socks5Systemz: Botnetz nutzt 85.000 gehackte Geräte für illegale Proxy-Dienste" für unsere Leser?
Es werden alle Kommentare moderiert!
Für eine offene Diskussion behalten wir uns vor, jeden Kommentar zu löschen, der nicht direkt auf das Thema abzielt oder nur den Zweck hat, Leser oder Autoren herabzuwürdigen.
Wir möchten, dass respektvoll miteinander kommuniziert wird, so als ob die Diskussion mit real anwesenden Personen geführt wird. Dies machen wir für den Großteil unserer Leser, der sachlich und konstruktiv über ein Thema sprechen möchte.
Du willst nichts verpassen?
Du möchtest über ähnliche News und Beiträge wie "Socks5Systemz: Botnetz nutzt 85.000 gehackte Geräte für illegale Proxy-Dienste" informiert werden? Neben der E-Mail-Benachrichtigung habt ihr auch die Möglichkeit, den Feed dieses Beitrags zu abonnieren. Wer natürlich alles lesen möchte, der sollte den RSS-Hauptfeed oder IT BOLTWISE® bei Google News wie auch bei Bing News abonnieren.