crédit photo © Oleksandr Lysenko - shutterstock
Cinq personnes arrêtées, 37 perquisitions, 39 serveurs saisis et 221 mis hors ligne avec le concours des hébergeurs, mais aussi « plus de 800 000 domaines » bloqués : c’est le bilan de l’opération internationale menée pour démanteler le botnet Avalanche.
Après quatre années d’enquête, le coup de grâce a été donné ce mercredi 30 novembre 2016, sous la houlette des autorités allemandes, en coopération avec leurs homologues américaines et Europol.
Il semble qu’Avalanche ait été utilisé depuis 2009 pour diffuser des logiciels malveillants et lancer des campagnes de phishing. Il aurait envoyé, chaque semaine, plus d’un million d’e-mails contenant des liens ou des pièces jointes malveillants.
Les investigations avaient démarré en Allemagne après une infection massive par un ransomware (« Windows Encryption Trojan »).
Les recherches ont démontré que le rôle principal d’Avalanche était de voler des identifiants de banque en ligne. Le botnet était d’ailleurs également utilisé pour recruter des « mules » chargées de blanchir l’argent dérobé en réalisant des achats.
Rien qu’en Allemagne, le préjudice lié aux attaque sur des systèmes de banque en ligne s’élèverait à 6 millions d’euros. Il faudrait, selon Europol, y ajouter des centaines de millions d’euros en conséquence des malware diffusés dans plus de 180 pays. Mais selon l’office de police criminelle, il est très difficile de donner une estimation au vu du nombre de souches malicieuses diffusées : une vingtaine de familles en l’occurrence, dont GozNym, Matsnu, URLZone, Panda Banker et XswKit.
L’analyse de plus de 130 téraoctets de données a permis de déterminer la structure de ce botnet qui contrôlait régulièrement plus de 500 000 machines, selon ITespresso.
Il a été découvert une architecture en « fast-flux double ». Dans les grandes lignes, elle permet rendre beaucoup plus difficile la localisation du serveur principal en exploitant les ordinateurs zombies comme des « proxys inversés ». Quand le « fast-flux simple » permet d’attribuer plusieurs adresses IP à un même nom de domaine, sa version double fait de même pour les DNS (voir l’infographie d’Europol pour plus de précisions).
A lire aussi :
DDoS : le code du botnet IoT Mirai mis en libre-service
Conficker, Sality et Dorkbot principaux botnets DDoS au début 2016
Le voile est levé sur Oracle Code Assist. Présenté comme spécialisé en Java et SQL,…
EPEI, la société d'investissement de Daniel Kretinsky, a déposé une offre de reprise d'Atos. En…
Onepoint, l'actionnaire principal d'Atos, a déposé une offre de reprise du groupe. En voici quelques…
Broadcom a repris seul la main sur la vente de l'offre VMware d'AWS... qui, dans…
Microsoft expérimente, sous la marque ZTDNS, une implémentation des principes zero trust pour le trafic…
Accord de principe entre créanciers, propositions de reprise, discussions avec l'État... Le point sur le…