stringtranslate.com

Avalanche (grupo de phishing)

Avalanche era un sindicato criminal involucrado en ataques de phishing , fraude bancario en línea y ransomware . El nombre también hace referencia a la red de sistemas propios, alquilados y comprometidos que se utilizaban para llevar a cabo esa actividad. Avalanche solo infectaba computadoras que ejecutaban el sistema operativo Microsoft Windows.

En noviembre de 2016, la botnet Avalanche fue destruida después de un proyecto de cuatro años realizado por un consorcio internacional de organizaciones policiales, comerciales, académicas y privadas.

Historia

Avalanche fue descubierto en diciembre de 2008 y puede haber sido el reemplazo de un grupo de phishing conocido como Rock Phish que dejó de operar en 2008. [1] Se manejaba desde Europa del Este y los investigadores de seguridad le dieron su nombre debido al alto volumen de sus ataques. [2] [3] Avalanche lanzó el 24% de los ataques de phishing en la primera mitad de 2009; en la segunda mitad de 2009, el Grupo de Trabajo Anti-Phishing (APWG) registró 84.250 ataques de Avalanche, lo que constituye el 66% de todos los ataques de phishing. El número total de ataques de phishing se duplicó con creces, un aumento que el APWG atribuye directamente a Avalanche. [4]

Avalanche utilizaba correos electrónicos no deseados que pretendían provenir de organizaciones de confianza, como instituciones financieras o sitios web de empleo. Las víctimas eran engañadas para que ingresaran información personal en sitios web que aparentaban pertenecer a estas organizaciones. En ocasiones, se les convencía para que instalaran software adjunto a los correos electrónicos o en un sitio web. El malware registraba las pulsaciones de teclas , robaba contraseñas e información de tarjetas de crédito y permitía el acceso remoto no autorizado al equipo infectado.

El informe de tendencias de phishing de Internet Identity correspondiente al segundo trimestre de 2009 afirma que Avalanche "tiene un conocimiento detallado de las plataformas de banca comercial, en particular de los sistemas de gestión de tesorería y del sistema de Cámara de Compensación Automatizada (ACH). También están realizando ataques de intermediarios en tiempo real que superan con éxito los tokens de seguridad de dos factores". [5]

Avalanche tenía muchas similitudes con el grupo anterior Rock Phish (el primer grupo de phishing que utilizó técnicas automatizadas), pero con mayor escala y volumen. [6] Avalanche alojaba sus dominios en computadoras comprometidas (una botnet ). No había un único proveedor de alojamiento , lo que dificultaba la eliminación del dominio y requería la participación del registrador de dominio responsable .

Además, Avalanche utilizó DNS de flujo rápido , lo que provocó que las máquinas comprometidas cambiaran constantemente. Los ataques de Avalanche también propagaron el troyano Zeus, lo que permitió que se produjeran más actividades delictivas. La mayoría de los dominios que utilizó Avalanche pertenecían a registradores de nombres de dominio nacionales de Europa y Asia. Esto difiere de otros ataques de phishing, en los que la mayoría de los dominios utilizan registradores estadounidenses . Parece que Avalanche eligió a los registradores en función de sus procedimientos de seguridad, y volvió repetidamente a los registradores que no detectan los dominios que se utilizan para el fraude o que tardan en suspender los dominios abusivos. [5] [7]

Avalanche registraba dominios con frecuencia en varios registradores, mientras probaba otros para comprobar si sus dominios distintivos eran detectados y bloqueados. Se dirigían a un pequeño número de instituciones financieras a la vez, pero las rotaban con regularidad. Un dominio que no era suspendido por un registrador se reutilizaba en ataques posteriores. El grupo creó un "kit" de phishing, que venía preparado previamente para su uso contra muchas instituciones víctimas. [5] [8]

Avalanche atrajo mucha atención de las organizaciones de seguridad; como resultado, el tiempo de actividad de los nombres de dominio que utilizó fue la mitad del de otros dominios de phishing. [4]

En octubre de 2009, la ICANN , la organización que gestiona la asignación de nombres de dominio, emitió una nota de alerta situacional en la que se alentaba a los registradores a ser proactivos a la hora de abordar los ataques de Avalanche. [9] El registro del Reino Unido, Nominet, ha cambiado sus procedimientos para facilitar la suspensión de dominios debido a los ataques de Avalanche. [4] Interdomain, un registrador español, comenzó a exigir un código de confirmación entregado por teléfono móvil en abril de 2009, lo que obligó con éxito a Avalanche a dejar de registrar dominios fraudulentos con ellos. [5]

En 2010, el APWG informó que Avalanche había sido responsable de dos tercios de todos los ataques de phishing en la segunda mitad de 2009, describiéndolo como "uno de los más sofisticados y dañinos en Internet" y "la banda de phishing más prolífica del mundo". [4]

Derribar

En noviembre de 2009, las empresas de seguridad lograron cerrar la botnet Avalanche por un corto tiempo; después de esto, Avalanche redujo la escala de sus actividades y modificó su modus operandi . Para abril de 2010, los ataques de Avalanche habían disminuido a solo 59 desde un máximo de más de 26.000 en octubre de 2009, pero la disminución fue temporal. [1] [4]

El 30 de noviembre de 2016, la botnet Avalanche fue destruida al final de un proyecto de cuatro años por INTERPOL , Europol , la Fundación Shadowserver , [10] Eurojust , la policía  de Luneberg (Alemania), la Oficina Federal Alemana para la Seguridad de la Información (BSI), el Fraunhofer FKIE, varias compañías antivirus organizadas por Symantec , ICANN , CERT , el FBI y algunos de los registros de dominio que habían sido utilizados por el grupo.

Symantec realizó ingeniería inversa del malware cliente y el consorcio analizó 130 TB de datos capturados durante esos años. Esto le permitió vencer la ofuscación DNS distribuida de flujo rápido , mapear la estructura de comando/control [11] de la botnet e identificar sus numerosos servidores físicos.

Se registraron 37 locales, se incautaron 39 servidores, se eliminaron de la red 221 servidores alquilados cuando se notificó a sus propietarios involuntarios, se liberaron del control remoto 500.000 computadoras zombi , se privó de control a 17 familias de malware y se arrestó a las cinco personas que dirigían la botnet.

El servidor de sumidero de las fuerzas del orden , descrito en 2016 como el "más grande de la historia", con 800.000 dominios atendidos, recopila las direcciones IP de las computadoras infectadas que solicitan instrucciones a la botnet para que los ISP que las poseen puedan informar a los usuarios de que sus máquinas están infectadas y proporcionar software de eliminación. [12] [13] [14]

Malware privado de infraestructura

Las siguientes familias de malware estaban alojadas en Avalanche:

La red Avalanche también proporcionó las comunicaciones c/c para estas otras botnets:

Referencias

  1. ^ ab Greene, Tim. "La peor plaga de phishing puede estar cobrando impulso". PC World . Archivado desde el original el 20 de mayo de 2010. Consultado el 17 de mayo de 2010 .
  2. ^ McMillan, Robert (12 de mayo de 2010). "Informe culpa al grupo 'Avalanche' de la mayoría de los ataques de phishing". Network World . Archivado desde el original el 13 de junio de 2011. Consultado el 17 de mayo de 2010 .
  3. ^ McMillan, Robert (12 de mayo de 2010). "Informe culpa al grupo 'Avalanche' de la mayoría de los ataques de phishing". Computerworld . Archivado desde el original el 16 de mayo de 2010. Consultado el 17 de mayo de 2010 .
  4. ^ abcde Aaron, Greg; Rod Rasmussen (2010). "Encuesta mundial sobre phishing: tendencias y uso de nombres de dominio en el segundo semestre de 2009" (PDF) . Asesoramiento de la industria de APWG . Consultado el 17 de mayo de 2010 .
  5. ^ abcd "Informe sobre tendencias de phishing: análisis de las amenazas de fraude financiero en línea en el segundo trimestre de 2009" (PDF) . Identidad en Internet . Consultado el 17 de mayo de 2010 .[ enlace muerto permanente ]
  6. ^ Kaplan, Dan (12 de mayo de 2010). "El phishing "Avalanche" se está ralentizando, pero fue el furor de 2009". Revista SC . Archivado desde el original el 1 de febrero de 2013. Consultado el 17 de mayo de 2010 .
  7. ^ Mohan, Ram (13 de mayo de 2010). "El estado del phishing: un análisis de la encuesta de phishing de APWG y la banda de phishing Avalanche". Security Week . Consultado el 17 de mayo de 2010 .
  8. ^ Naraine, Ryan. "El kit de software malicioso 'Avalanche' impulsa los ataques de phishing". ThreatPost . Kaspersky Lab . Archivado desde el original el 2010-08-02 . Consultado el 2010-05-17 .
  9. ^ Ito, Yurie. "Ataque de phishing criminal de gran volumen conocido como Avalanche, el método de distribución del infector de la botnet Zeus". Nota de conocimiento de la situación de la ICANN 2009-10-06 . ICANN . Archivado desde el original el 2 de abril de 2010 . Consultado el 17 de mayo de 2010 .
  10. ^ "Fundación Shadowserver - Shadowserver - Misión".
  11. ^ "Infografía de la Operación Avalancha". europol.europa.eu . Consultado el 9 de noviembre de 2021 .
  12. ^ Peters, Sarah (1 de diciembre de 2016). "La red de bots Avalanche se derrumba en la mayor operación de hundimiento de la historia". darkreading.com . Consultado el 3 de diciembre de 2016 .
  13. ^ Respuesta de seguridad de Symantec (1 de diciembre de 2016). "Red de malware Avalanche atacada y derribada por las fuerzas del orden". Symantec Connect . Symantec . Consultado el 3 de diciembre de 2016 .
  14. Europol (1 de diciembre de 2016). «Desmantelada la red 'Avalancha' en una operación cibernética internacional». europol.europa.eu . Europol . Consultado el 3 de diciembre de 2016 .
  15. ^ US-CERT (30 de noviembre de 2016). «Alerta TA16-336A». us-cert.gov . CERT . Consultado el 3 de diciembre de 2016 .

Enlaces externos