Socks5Systemz : 250.000 dispositivi nella botnet che fornisce proxy anonimi ai criminali

Sandro Sana : 10 Dicembre 2024 15:23

Negli ultimi anni, le botnet hanno rappresentato una delle minacce più insidiose e difficili da contrastare nel panorama della cybersicurezza. Tra queste, una delle più persistenti e sofisticate è senza dubbio Socks5Systemz, una botnet attiva sin dal 2013. Questa rete malevola alimenta un servizio proxy illegale noto come PROXY.AM, utilizzando dispositivi compromessi per fornire a criminali informatici una rete anonima con cui occultare le loro attività illecite.

Indagini attraverso la threat Intelligence permettono di comprendere meglio l’ampiezza di questa minaccia e i meccanismi alla base del suo funzionamento. Vediamo come questa botnet è strutturata, quali sono le sue implicazioni sulla sicurezza globale e perché rappresenta un rischio concreto e costante.

Cos’è una Botnet e Come Funziona Socks5Systemz

Una botnet è una rete di dispositivi infettati da malware e controllati da remoto da un attaccante, noto come botmaster. I dispositivi compromessi, spesso chiamati bot o zombie, possono includere computer, smartphone, router e persino dispositivi IoT. L’attaccante utilizza questa rete per svolgere attività malevole come inviare spam, lanciare attacchi DDoS o, come nel caso di Socks5Systemz, fornire servizi di proxy anonimi.

La botnet Socks5Systemz ha una caratteristica distintiva: trasforma i dispositivi infetti in nodi di uscita proxy. Ciò significa che il traffico internet dei cybercriminali può essere instradato attraverso questi dispositivi, rendendo estremamente difficile risalire alla vera origine degli attacchi. Questo tipo di infrastruttura è fondamentale per garantire l’anonimato degli attaccanti e rendere le loro attività quasi impossibili da tracciare.

Il Servizio Proxy Illegale PROXY.AM

La botnet Socks5Systemz supporta il funzionamento di un servizio proxy illegale noto come PROXY.AM. Secondo il rapporto di The Hacker News, questo servizio offre ai cybercriminali l’accesso a proxy privati e anonimi dietro pagamento di una quota mensile che varia tra 126 e 700 dollari. PROXY.AM pubblicizza i suoi servizi come:

• “Elite” proxy server, garantendo elevate prestazioni e anonimato.
• “Privati” e “anonimi”, assicurando che le connessioni siano sicure e non tracciabili.

I clienti di PROXY.AM possono utilizzare questi proxy per nascondere le proprie attività malevole, come campagne di phishing, furti di dati, frodi online e diffusione di malware.

Declino e Rinascita della Botnet

Dal 2013, la botnet ha subito diverse trasformazioni. Inizialmente, contava circa 250.000 dispositivi compromessi. Tuttavia, grazie alle azioni delle autorità e alla perdita parziale di controllo da parte dei suoi gestori, la rete si è ridotta. Attualmente, si stima che la botnet sia composta da circa 85.000 dispositivi infetti, che continuano a essere utilizzati come nodi di uscita per il servizio PROXY.AM. Questo declino è stato seguito da una fase di ricostruzione, dimostrando la resilienza e la capacità di adattamento dei botmaster.

Analisi della Struttura della Botnet

L’immagine allegata fornisce una chiara rappresentazione visiva delle interconnessioni tra i vari elementi della botnet. Vediamo alcuni punti salienti:

Nodo Centrale: Socks5Systemz

• Socks5Systemz è il fulcro della rete, il nodo principale da cui si diramano numerose connessioni.
• Questo nodo controlla e gestisce il traffico che viene instradato attraverso i dispositivi infetti.

Servizi Collegati

• PROXY.AM e proxyam.one sono servizi direttamente collegati a Socks5Systemz. Essi rappresentano l’infrastruttura utilizzata per vendere accessi proxy ai criminali informatici.
• Questi servizi sono indicati come fonti di traffico malevolo, offrendo connessioni anonime e private per attività illegali.

Paesi Colpiti

Dalla mappa della rete, è evidente che la botnet colpisce dispositivi in diverse parti del mondo. I paesi più colpiti includono:

• India
• Indonesia
• Ucraina
• Brasile
• Bangladesh
• Federazione Russa
• Messico
• Stati Uniti
• Nigeria

Questi paesi fungono da base per i dispositivi compromessi che vengono utilizzati come nodi proxy, permettendo al traffico malevolo di apparire come proveniente da queste aree.

Implicazioni per la Sicurezza Informatica

L’esistenza di una botnet come Socks5Systemz evidenzia diverse criticità e implicazioni per la sicurezza globale:

1. Difficoltà nel Tracciamento degli Attaccanti:
   Poiché gli attaccanti utilizzano dispositivi compromessi come nodi di uscita proxy, risalire alla loro identità diventa estremamente difficile. Questo complica le indagini e favorisce l’impunità dei cybercriminali.
2. Frode e Criminalità Organizzata:
   Servizi come PROXY.AM facilitano attività criminali su larga scala, inclusi attacchi di phishing, frodi finanziarie e campagne di spam. Il costo relativamente basso per l’accesso a questi servizi rende la criminalità informatica accessibile anche a individui con risorse limitate.
3. Rischi per le Vittime Inconsapevoli:
   I dispositivi compromessi spesso appartengono a utenti ignari. Questi dispositivi possono essere utilizzati per scopi malevoli senza che i proprietari se ne accorgano, esponendoli a potenziali conseguenze legali e compromettendo la loro privacy.
4. Minacce per le Aziende:
   Le aziende possono subire attacchi originati da queste reti proxy, mettendo a rischio dati sensibili, reputazione e stabilità operativa.

Come Proteggersi dalle Botnet

Per contrastare minacce come Socks5Systemz, è fondamentale adottare buone pratiche di sicurezza informatica:

• Mantenere sempre aggiornati i sistemi operativi e il software per ridurre le vulnerabilità sfruttabili dai malware.
• Utilizzare antivirus e soluzioni di sicurezza avanzate per rilevare e bloccare attività sospette.
• Monitorare il traffico di rete per individuare comportamenti anomali, come connessioni non autorizzate a server esterni.
• Eseguire backup regolari dei dati per mitigare i danni in caso di compromissione.
• Educare gli utenti sui rischi delle email di phishing e dei download non sicuri.

La botnet Socks5Systemz e il servizio proxy illegale PROXY.AM rappresentano una minaccia persistente e sofisticata per la sicurezza informatica globale. La capacità di questa rete di adattarsi e sopravvivere nel tempo dimostra quanto sia difficile contrastare efficacemente queste infrastrutture malevole. La collaborazione internazionale e l’adozione di misure preventive sono essenziali per mitigare l’impatto di queste minacce e proteggere utenti e aziende dagli attacchi dei cybercriminali.

Sandro Sana
Membro del gruppo di Red Hot Cyber Dark Lab e direttore del Red Hot Cyber PodCast. Si occupa d'Information Technology dal 1990 e di Cybersecurity dal 2014 (CEH - CIH - CISSP - CSIRT Manager - CTI Expert), relatore a SMAU 2017 e SMAU 2018, docente SMAU Academy & ITS, membro ISACA. Fa parte del Comitato Scientifico del Competence Center nazionale Cyber 4.0, dove contribuisce all’indirizzo strategico delle attività di ricerca, formazione e innovazione nella cybersecurity.

Lista degli articoli
Visita il sito web dell'autore