Avalanche era un sindicato criminal involucrado en ataques de phishing , fraude bancario en línea y ransomware . El nombre también se refiere a la red de sistemas propios, alquilados y comprometidos que se utilizan para llevar a cabo esa actividad. Avalanche solo los equipos infectados que ejecutan el sistema operativo Microsoft Windows .
En noviembre de 2016, la botnet Avalanche fue destruida después de un proyecto de cuatro años por parte de un consorcio internacional de organizaciones policiales, comerciales, académicas y privadas.
Historia
Avalanche se descubrió en diciembre de 2008 y puede haber sido un reemplazo de un grupo de phishing conocido como Rock Phish que dejó de operar en 2008. [1] Se ejecutó desde Europa del Este y los investigadores de seguridad le dieron su nombre debido al alto volumen de sus ataques. [2] [3] Avalanche lanzó el 24% de los ataques de phishing en el primer semestre de 2009; En la segunda mitad de 2009, el Grupo de Trabajo Anti-Phishing (APWG) registró 84,250 ataques de Avalanche, lo que constituye el 66% de todos los ataques de phishing. El número total de ataques de phishing se duplicó con creces, un aumento que el APWG atribuye directamente a Avalanche. [4]
Avalanche utilizó correo electrónico no deseado que supuestamente provenía de organizaciones confiables, como instituciones financieras o sitios web de empleo. Las víctimas fueron engañadas para que ingresaran información personal en sitios web que parecían pertenecer a estas organizaciones. A veces fueron engañados para que instalaran software adjunto a los correos electrónicos o en un sitio web. El malware registró pulsaciones de teclas , robó contraseñas e información de tarjetas de crédito y permitió el acceso remoto no autorizado a la computadora infectada.
Internet Identidad informe de phishing Tendencias 's para el segundo trimestre de 2009, dijo que la avalancha "tienen un conocimiento detallado de las plataformas de banca comercial, en particular los sistemas de gestión de tesorería y la cámara de compensación automatizada del sistema (ACH). También se están realizando con éxito en tiempo real man-in -Ataques intermedios que derrotan a los tokens de seguridad de dos factores ". [5]
Avalanche tenía muchas similitudes con el grupo anterior Rock Phish , el primer grupo de phishing que utilizó técnicas automatizadas, pero con mayor escala y volumen. [6] Avalanche alojó sus dominios en computadoras comprometidas (una botnet ). No había un único proveedor de alojamiento , lo que dificultaba la eliminación del dominio y requería la participación del registrador de dominios responsable .
Además, Avalanche utilizó DNS de flujo rápido , lo que provocó que las máquinas comprometidas cambiaran constantemente. Los ataques de avalancha también propagan el caballo de Troya Zeus, lo que permite una mayor actividad delictiva. La mayoría de los dominios que utilizó Avalanche pertenecían a registradores de nombres de dominio nacionales en Europa y Asia. Esto difiere de otros ataques de phishing, en los que la mayoría de los dominios utilizan registradores de EE . UU . Parece que Avalanche eligió a los registradores en función de sus procedimientos de seguridad, volviendo repetidamente a los registradores que no detectan dominios que se utilizan para fraude, o que demoraron en suspender dominios abusivos. [5] [7]
Avalanche registraba con frecuencia dominios con varios registradores, mientras probaba otros para comprobar si sus dominios distintivos estaban siendo detectados y bloqueados. Apuntaron a un pequeño número de instituciones financieras a la vez, pero las rotaron con regularidad. Un dominio que no fue suspendido por un registrador se reutilizó en ataques posteriores. El grupo creó un "kit" de phishing, que venía preparado para su uso contra muchas instituciones víctimas. [5] [8]
Avalanche atrajo una atención significativa de las organizaciones de seguridad; como resultado, el tiempo de actividad de los nombres de dominio que utilizó fue la mitad que el de otros dominios de phishing. [4]
En octubre de 2009, ICANN , la organización que administra la asignación de nombres de dominio, emitió una Nota de Concientización sobre la Situación alentando a los registradores a ser proactivos en el manejo de los ataques Avalanche. [9] El registro del Reino Unido, Nominet , ha cambiado sus procedimientos para facilitar la suspensión de dominios, debido a los ataques de Avalanche. [4] Interdomain, un registrador español, comenzó a requerir un código de confirmación entregado por teléfono móvil en abril de 2009, lo que obligó a Avalanche a dejar de registrar dominios fraudulentos con ellos. [5]
En 2010, el APWG informó que Avalanche había sido responsable de dos tercios de todos los ataques de phishing en la segunda mitad de 2009, y lo describió como "uno de los más sofisticados y dañinos de Internet" y "la banda de phishing más prolífica del mundo". . [4]
Derribar
En noviembre de 2009, las empresas de seguridad lograron cerrar la botnet Avalanche durante un breve período de tiempo; después de esta Avalancha redujo la escala de sus actividades y alteró su modus operandi . En abril de 2010, los ataques de Avalanche habían disminuido a solo 59 desde un máximo de más de 26,000 en octubre de 2009, pero la disminución fue temporal. [1] [4]
El 30 de noviembre de 2016, la botnet Avalanche fue destruida al final de un proyecto de cuatro años por INTERPOL , Europol , la Fundación Shadowserver , [10] Eurojust , la policía de Luneberg (Alemania), la Oficina Federal Alemana para la Seguridad de la Información (BSI ), Fraunhofer FKIE, varias compañías antivirus organizadas por Symantec , ICANN , CERT , el FBI y algunos de los registros de dominio que habían sido utilizados por el grupo.
Symantec realizó ingeniería inversa del malware del cliente y el consorcio analizó 130 TB de datos capturados durante esos años. Esto le permitió derrotar la ofuscación del DNS distribuido de flujo rápido , mapear la estructura de comando / control [11] de la botnet e identificar sus numerosos servidores físicos.
Se registraron 37 locales, se incautaron 39 servidores, se retiraron de la red 221 servidores alquilados cuando se notificó a sus propietarios involuntarios, se liberaron del control remoto 500.000 ordenadores zombies , se privó de c / c a 17 familias de malware y a las cinco personas que corrió la botnet fueron arrestados.
El servidor sumidero de las fuerzas del orden , descrito en 2016 como el "más grande de todos los tiempos", con 800.000 dominios atendidos, recopila las direcciones IP de las computadoras infectadas que solicitan instrucciones de la botnet para que los ISP que las poseen puedan informar a los usuarios que sus máquinas están infectadas y proporcionar software de eliminación. [12] [13] [14]
Malware privado de infraestructura
Las siguientes familias de malware se alojaron en Avalanche:
- Caballo de Troya con cifrado de Windows (WVT) (también conocido como Matsnu, Injector, Rannoh, Ransomlock.P)
- URLzone (también conocido como Bebloh)
- Ciudadela
- VM-ZeuS (también conocido como KINS)
- Bugat (también conocido como Feodo, Geodo, Cridex, Dridex, Emotet )
- newGOZ (también conocido como GameOverZeuS)
- Tinba (también conocido como TinyBanker)
- Nymaim / GozNym
- Vawtrak (también conocido como Neverquest)
- Marchista
- Pandabanker
- Ranbyus
- Aplicación inteligente
- TeslaCrypt
- Aplicación Trusteer
- Xswkit
La red Avalanche también proporcionó las comunicaciones c / c para estas otras botnets:
- TeslaCrypt
- Nymaim
- Corebot
- GetTiny
- Matsnu
- Rovnix
- Urlzone
- QakBot (también conocido como Qbot, PinkSlip Bot) [15]
Referencias
- ^ a b Greene, Tim. "La peor plaga de phishing puede estar acelerando" . PC World . Archivado desde el original el 20 de mayo de 2010 . Consultado el 17 de mayo de 2010 .
- ^ McMillan, Robert (12 de mayo de 2010). "Informe culpa al grupo 'Avalanche' de la mayoría de los casos de phishing" . Mundo de la red . Archivado desde el original el 13 de junio de 2011 . Consultado el 17 de mayo de 2010 .
- ^ McMillan, Robert (12 de mayo de 2010). "Informe culpa al grupo 'Avalanche' de la mayoría de los casos de phishing" . Computerworld . Archivado desde el original el 16 de mayo de 2010 . Consultado el 17 de mayo de 2010 .
- ^ a b c d e Aaron, Greg; Rod Rasmussen (2010). "Encuesta mundial sobre suplantación de identidad: tendencias y uso de nombres de dominio 2S2009" (PDF) . Asesoría de la industria APWG . Consultado el 17 de mayo de 2010 .
- ^ a b c d "Informe de tendencias de phishing: análisis de las amenazas de fraude financiero en línea segundo trimestre de 2009" (PDF) . Identidad de Internet . Consultado el 17 de mayo de 2010 .[ enlace muerto permanente ]
- ^ Kaplan, Dan (12 de mayo de 2010). "El phishing " Avalanche "se ralentiza, pero fue todo el furor de 2009" . Revista SC . Archivado desde el original el 1 de febrero de 2013 . Consultado el 17 de mayo de 2010 .
- ^ Mohan, Ram (13 de mayo de 2010). "El estado de la suplantación de identidad (phishing): un desglose de la pandilla de Phishing de avalancha y encuesta de APWG" . Semana de la seguridad . Consultado el 17 de mayo de 2010 .
- ^ Naraine, Ryan. " El kit de Crimeware ' Avalanche' impulsa los ataques de phishing" . ThreatPost . Kaspersky Lab . Archivado desde el original el 2 de agosto de 2010 . Consultado el 17 de mayo de 2010 .
- ^ Ito, Yurie. "Ataque de phishing criminal de alto volumen conocido como Avalanche, el método de entrega para el infector de botnet Zeus" . Nota de concientización sobre la situación de la ICANN 2009-10-06 . ICANN . Archivado desde el original el 2 de abril de 2010 . Consultado el 17 de mayo de 2010 .
- ^ "Fundación Shadowserver - Shadowserver - Misión" .
- ^ https://www.europol.europa.eu/sites/default/files/images/editor/avalanche_-_double_flux-_details.png
- ^ Peters, Sarah (1 de diciembre de 2016). "Avalanche Botnet se derrumba en la operación de hundimiento más grande de la historia" . darkreading.com . Consultado el 3 de diciembre de 2016 .
- ^ Symantec Security Response (1 de diciembre de 2016). "Red de malware de avalancha golpeada con eliminación de aplicación de la ley" . Symantec Connect . Symantec . Consultado el 3 de diciembre de 2016 .
- ^ Europol (1 de diciembre de 2016). " Red ' Avalanche' desmantelada en ciberoperación internacional" . europol.europa.eu . Europol . Consultado el 3 de diciembre de 2016 .
- ^ US-CERT (30 de noviembre de 2016). "Alerta TA16-336A" . us-cert.gov . CERT . Consultado el 3 de diciembre de 2016 .
enlaces externos
- Operación cibernética conjunta derriba la red criminal Avalanche ( FBI )