Un residente di New York ha perso quasi un milione di dollari in criptovalute. Questo singolo caso è diventato uno degli esempi più lampanti dei danni causati da SocksEscort , un servizio di proxy a pagamento che ha permesso ai criminali di tutto il mondo di nascondersi mentre commettevano furti.
Una rete costruita su dispositivi dirottati
Le autorità statunitensi ed europee hanno annunciato giovedì di aver chiuso SocksEscort dopo anni di attività. Il servizio funzionava infettando router e altri dispositivi connessi a Internet con malware, trasformandoli in punti di copertura che mascheravano la vera posizione dei criminali informatici.
Secondo il Dipartimento di Giustizia, la rete si era infiltrata silenziosamente in almeno 369.000 dispositivi distribuiti in 163 paesi. I criminali potevano quindi instradare i loro attacchi attraverso queste macchine compromesse, rendendo molto più difficile rintracciarli.
Il malware al centro dell'operazione, noto come AVrecon, era stato identificato pubblicamente dalla società di sicurezza informatica Black Lotus Labs già nel luglio 2023. Ciononostante, la rete ha continuato a funzionare.
L'operazione non è stata condotta da una singola agenzia. Le forze dell'ordine di Austria, Francia, Germania, Ungheria, Paesi Bassi, Romania e Stati Uniti hanno collaborato al caso.
Sul versante americano, l'ufficio di Sacramento dell'FBI, l'ufficio di Oakland dell'IRS Criminal Investigation e il Defense Criminal Investigative Service del Dipartimento della Difesa ebbero tutti un ruolo nella vicenda.
Europol ed Eurojust hanno fornito supporto per il coordinamento transfrontaliero. Black Lotus Labs e l'organizzazione no-profit Shadowserver Foundation hanno fornito informazioni tecniche che hanno aiutato gli investigatori a ricostruire i fatti.
Criminali pagati in criptovalute per rimanere anonimi
SocksEscort non attirava solo singoli malintenzionati. Funzionava come una vera e propria azienda. I clienti pagavano per accedere al servizio, e lo facevano in modo anonimo, utilizzando criptovalute per evitare di lasciare tracce finanziarie.
Stando ai dati di Europol, la piattaforma ha incassato almeno 5 milioni di euro, circa 5,7 milioni di dollari, dai suoi utenti paganti nel corso della sua attività.
Le autorità sono riuscite infine a sequestrare 34 domini, disattivare circa una ventina di server operanti in sette paesi e congelare circa 3,5 milioni di dollari in criptovalute collegate all'operazione.
La direttrice esecutiva di Europol, Catherine De Bolle, ha affermato che i servizi di intermediazione di questo tipo offrono ai criminali la copertura necessaria per compiere attacchi, diffondere contenuti illegali ed eludere i controlli. Ha inoltre riconosciuto alla cooperazione internazionale il merito di aver smascherato l'infrastruttura che si cela dietro a tali servizi.
Le frodi si estendono dai conti bancari ai portafogli di criptovalute.
I crimini resi possibili da SocksEscort andavano oltre un singolo metodo. Le autorità hanno collegato la rete a frodi bancarie e appropriazioni indebite di conti di criptovalute risalenti al 2020.
Il caso della vittima di New York si è distinto per la sua portata, ma i rapporti indicano che i danni si sono estesi a più paesi e a diverse tipologie di obiettivi.
Immagine principale da Pexels, grafico da TradingView