Pour gérer vos consentements :

Les autorités Allemandes débranchent le botnet Avalanche

Cinq personnes arrêtées, 37 perquisitions, 39 serveurs saisis et 221 mis hors ligne avec le concours des hébergeurs, mais aussi « plus de 800 000 domaines » bloqués : c’est le bilan de l’opération internationale menée pour démanteler le botnet Avalanche.

Après quatre années d’enquête, le coup de grâce a été donné ce mercredi 30 novembre 2016, sous la houlette des autorités allemandes, en coopération avec leurs homologues américaines et Europol.

Des millions d’euros de préjudices

Il semble qu’Avalanche ait été utilisé depuis 2009 pour diffuser des logiciels malveillants et lancer des campagnes de phishing. Il aurait envoyé, chaque semaine, plus d’un million d’e-mails contenant des liens ou des pièces jointes malveillants.

Les investigations avaient démarré en Allemagne après une infection massive par un ransomware (« Windows Encryption Trojan »).

Les recherches ont démontré que le rôle principal d’Avalanche était de voler des identifiants de banque en ligne. Le botnet était d’ailleurs également utilisé pour recruter des « mules » chargées de blanchir l’argent dérobé en réalisant des achats.

Rien qu’en Allemagne, le préjudice lié aux attaque sur des systèmes de banque en ligne s’élèverait à 6 millions d’euros. Il faudrait, selon Europol, y ajouter des centaines de millions d’euros en conséquence des malware diffusés dans plus de 180 pays. Mais selon l’office de police criminelle, il est très difficile de donner une estimation au vu du nombre de souches malicieuses diffusées : une vingtaine de familles en l’occurrence, dont GozNym, Matsnu, URLZone, Panda Banker et XswKit.

Une architecture à double flux rapide

L’analyse de plus de 130 téraoctets de données a permis de déterminer la structure de ce botnet qui contrôlait régulièrement plus de 500 000 machines, selon ITespresso.

Il a été découvert une architecture en « fast-flux double ». Dans les grandes lignes, elle permet rendre beaucoup plus difficile la localisation du serveur principal en exploitant les ordinateurs zombies comme des « proxys inversés ». Quand le « fast-flux simple » permet d’attribuer plusieurs adresses IP à un même nom de domaine, sa version double fait de même pour les DNS (voir l’infographie d’Europol pour plus de précisions).
A lire aussi :

DDoS : le code du botnet IoT Mirai mis en libre-service

Conficker, Sality et Dorkbot principaux botnets DDoS au début 2016

crédit photo © Oleksandr Lysenko – shutterstock

Recent Posts

Des serveurs IA cyberattaqués : le vecteur s’appelle Ray

Un éditeur attire l'attention sur des attaques exploitant l'absence d'autorisation dans une API du framework…

3 heures ago

Amazon débloque la deuxième tranche de son investissement dans Anthropic

Après un premier financement en septembre 2023, Amazon a débloquer le reste de l'enveloppe qu'il…

5 heures ago

Les logiciels libres entrés au SILL au premier trimestre 2024

D'Alpine Linux à XPipe, voic les dernières entrées au SILL (Socle interministériel de logiciels libres).

22 heures ago

Quelques chiffres pour contextualiser le premier livrable du comité de l’IA générative

Le comité de l'IA générative établi en septembre 2023 par le Gouvernement a formulé ses…

23 heures ago

Le DMA, cette entreprise de microgestion des Big Tech

L'UE multiplie les enquêtes et les procédures de non-conformité contre des entreprises soumises au DMA.

1 jour ago

Docaposte se pose en centrale cyber pour les PME

Forum InCyber 2024 - Docaposte fédère les offres d'une douzaine d'acteurs français en un Pack…

2 jours ago