Avalanche (grupo de phishing) - Avalanche (phishing group)
Avalanche era un sindicato criminal involucrado en ataques de phishing , fraude bancario en línea y ransomware . El nombre también se refiere a la red de sistemas propios, alquilados y comprometidos que se utilizan para llevar a cabo esa actividad. Avalanche solo los equipos infectados que ejecutan el sistema operativo Microsoft Windows .
En noviembre de 2016, la botnet Avalanche fue destruida después de un proyecto de cuatro años por parte de un consorcio internacional de organizaciones policiales, comerciales, académicas y privadas.
Historia
Avalanche fue descubierto en diciembre de 2008 y puede haber sido un reemplazo de un grupo de phishing conocido como Rock Phish que dejó de operar en 2008. Se ejecutó desde Europa del Este y los investigadores de seguridad le dieron su nombre debido al alto volumen de sus ataques. Avalanche lanzó el 24% de los ataques de phishing en el primer semestre de 2009; En la segunda mitad de 2009, el Grupo de Trabajo Anti-Phishing (APWG) registró 84,250 ataques de Avalanche, lo que constituye el 66% de todos los ataques de phishing. El número total de ataques de phishing se duplicó con creces, un aumento que el APWG atribuye directamente a Avalanche.
Avalanche utilizó correo electrónico no deseado que supuestamente provenía de organizaciones confiables, como instituciones financieras o sitios web de empleo. Las víctimas fueron engañadas para que ingresaran información personal en sitios web que parecían pertenecer a estas organizaciones. A veces fueron engañados para que instalaran software adjunto a los correos electrónicos o en un sitio web. El malware registró pulsaciones de teclas , robó contraseñas e información de tarjetas de crédito y permitió el acceso remoto no autorizado a la computadora infectada.
Internet Identidad informe de phishing Tendencias 's para el segundo trimestre de 2009, dijo que la avalancha "tienen un conocimiento detallado de las plataformas de banca comercial, en particular los sistemas de gestión de tesorería y la cámara de compensación automatizada del sistema (ACH). También se están realizando con éxito en tiempo real man-in -Ataques intermedios que derrotan a los tokens de seguridad de dos factores ".
Avalanche tenía muchas similitudes con el grupo anterior Rock Phish , el primer grupo de phishing que utilizó técnicas automatizadas, pero con mayor escala y volumen. Avalanche alojó sus dominios en computadoras comprometidas (una botnet ). No había un único proveedor de alojamiento , lo que dificultaba la eliminación del dominio y requería la participación del registrador de dominios responsable .
Además, Avalanche utilizó DNS de flujo rápido , lo que provocó que las máquinas comprometidas cambiaran constantemente. Los ataques de avalancha también propagan el caballo de Troya Zeus, lo que permite una mayor actividad delictiva. La mayoría de los dominios que utilizó Avalanche pertenecían a registradores de nombres de dominio nacionales en Europa y Asia. Esto difiere de otros ataques de phishing, en los que la mayoría de los dominios utilizan registradores de EE . UU . Parece que Avalanche eligió a los registradores en función de sus procedimientos de seguridad, volviendo repetidamente a los registradores que no detectan dominios que se utilizan para fraude, o que demoraron en suspender dominios abusivos.
Avalanche registraba con frecuencia dominios con varios registradores, mientras probaba otros para comprobar si sus dominios distintivos estaban siendo detectados y bloqueados. Apuntaron a un pequeño número de instituciones financieras a la vez, pero las rotaron con regularidad. Un dominio que no fue suspendido por un registrador se reutilizó en ataques posteriores. El grupo creó un "kit" de phishing, que venía preparado para su uso contra muchas instituciones víctimas.
Avalanche atrajo una atención significativa de las organizaciones de seguridad; como resultado, el tiempo de actividad de los nombres de dominio que utilizó fue la mitad que el de otros dominios de phishing.
En octubre de 2009, ICANN , la organización que gestiona la asignación de nombres de dominio, emitió una Nota de Concientización sobre la Situación alentando a los registradores a ser proactivos en el manejo de los ataques Avalanche. El registro del Reino Unido, Nominet , ha cambiado sus procedimientos para facilitar la suspensión de dominios, debido a los ataques de Avalanche. Interdomain, un registrador español, comenzó a requerir un código de confirmación entregado por teléfono móvil en abril de 2009, lo que obligó a Avalanche a dejar de registrar dominios fraudulentos con ellos.
En 2010, el APWG informó que Avalanche había sido responsable de dos tercios de todos los ataques de phishing en la segunda mitad de 2009, y lo describió como "uno de los más sofisticados y dañinos de Internet" y "la banda de phishing más prolífica del mundo". .
Derribar
En noviembre de 2009, las empresas de seguridad lograron cerrar la botnet Avalanche durante un breve período de tiempo; después de esta Avalancha redujo la escala de sus actividades y alteró su modus operandi . En abril de 2010, los ataques de Avalanche habían disminuido a solo 59 desde un máximo de más de 26,000 en octubre de 2009, pero la disminución fue temporal.
El 30 de noviembre de 2016, la botnet Avalanche fue destruida al final de un proyecto de cuatro años por INTERPOL , Europol , la Fundación Shadowserver , Eurojust , la policía de Luneberg (Alemania), la Oficina Federal Alemana para la Seguridad de la Información (BSI), la Fraunhofer FKIE, varias compañías antivirus organizadas por Symantec , ICANN , CERT , el FBI y algunos de los registros de dominio que habían sido utilizados por el grupo.
Symantec realizó ingeniería inversa del malware del cliente y el consorcio analizó 130 TB de datos capturados durante esos años. Esto le permitió derrotar la ofuscación de DNS distribuida de flujo rápido , mapear la estructura de comando / control de la botnet e identificar sus numerosos servidores físicos.
Se registraron 37 locales, se incautaron 39 servidores, se retiraron de la red 221 servidores alquilados cuando se notificó a sus propietarios involuntarios, se liberaron del control remoto 500.000 ordenadores zombies , se privó de c / c a 17 familias de malware y a las cinco personas que corrió la botnet fueron arrestados.
El servidor sumidero de las fuerzas del orden , descrito en 2016 como el "más grande de todos los tiempos", con 800.000 dominios atendidos, recopila las direcciones IP de las computadoras infectadas que solicitan instrucciones de la botnet para que los ISP que las poseen puedan informar a los usuarios que sus máquinas están infectadas y proporcionar software de eliminación.
Malware privado de infraestructura
Las siguientes familias de malware se alojaron en Avalanche:
- Caballo de Troya con cifrado de Windows (WVT) (también conocido como Matsnu, Injector, Rannoh, Ransomlock.P)
- URLzone (también conocido como Bebloh)
- Ciudadela
- VM-ZeuS (también conocido como KINS)
- Bugat (también conocido como Feodo, Geodo, Cridex, Dridex, Emotet )
- newGOZ (también conocido como GameOverZeuS)
- Tinba (también conocido como TinyBanker)
- Nymaim / GozNym
- Vawtrak (también conocido como Neverquest)
- Marchista
- Pandabanker
- Ranbyus
- Aplicación inteligente
- TeslaCrypt
- Aplicación Trusteer
- Xswkit
La red Avalanche también proporcionó las comunicaciones c / c para estas otras botnets:
- TeslaCrypt
- Nymaim
- Corebot
- GetTiny
- Matsnu
- Rovnix
- Urlzone
- QakBot (también conocido como Qbot, PinkSlip Bot)