Les autorités Allemandes débranchent le botnet Avalanche

cable-réseau-couper-sectionner

Les autorités allemandes en coopération avec les Etats-Unis et Europol ont démantelé le botnet Avalanche.

Cinq personnes arrêtées, 37 perquisitions, 39 serveurs saisis et 221 mis hors ligne avec le concours des hébergeurs, mais aussi « plus de 800 000 domaines » bloqués : c’est le bilan de l’opération internationale menée pour démanteler le botnet Avalanche.

Après quatre années d’enquête, le coup de grâce a été donné ce mercredi 30 novembre 2016, sous la houlette des autorités allemandes, en coopération avec leurs homologues américaines et Europol.

Des millions d’euros de préjudices

Il semble qu’Avalanche ait été utilisé depuis 2009 pour diffuser des logiciels malveillants et lancer des campagnes de phishing. Il aurait envoyé, chaque semaine, plus d’un million d’e-mails contenant des liens ou des pièces jointes malveillants.

Les investigations avaient démarré en Allemagne après une infection massive par un ransomware (« Windows Encryption Trojan »).

Les recherches ont démontré que le rôle principal d’Avalanche était de voler des identifiants de banque en ligne. Le botnet était d’ailleurs également utilisé pour recruter des « mules » chargées de blanchir l’argent dérobé en réalisant des achats.

Rien qu’en Allemagne, le préjudice lié aux attaque sur des systèmes de banque en ligne s’élèverait à 6 millions d’euros. Il faudrait, selon Europol, y ajouter des centaines de millions d’euros en conséquence des malware diffusés dans plus de 180 pays. Mais selon l’office de police criminelle, il est très difficile de donner une estimation au vu du nombre de souches malicieuses diffusées : une vingtaine de familles en l’occurrence, dont GozNym, Matsnu, URLZone, Panda Banker et XswKit.

Une architecture à double flux rapide

L’analyse de plus de 130 téraoctets de données a permis de déterminer la structure de ce botnet qui contrôlait régulièrement plus de 500 000 machines, selon ITespresso.

Il a été découvert une architecture en « fast-flux double ». Dans les grandes lignes, elle permet rendre beaucoup plus difficile la localisation du serveur principal en exploitant les ordinateurs zombies comme des « proxys inversés ». Quand le « fast-flux simple » permet d’attribuer plusieurs adresses IP à un même nom de domaine, sa version double fait de même pour les DNS (voir l’infographie d’Europol pour plus de précisions).
A lire aussi :

DDoS : le code du botnet IoT Mirai mis en libre-service

Conficker, Sality et Dorkbot principaux botnets DDoS au début 2016

crédit photo © Oleksandr Lysenko – shutterstock