Avalanche era un sindicato criminal involucrado en ataques de phishing , fraude bancario en línea y ransomware . El nombre también hace referencia a la red de sistemas propios, alquilados y comprometidos que se utilizaban para llevar a cabo esa actividad. Avalanche solo infectaba computadoras que ejecutaban el sistema operativo Microsoft Windows.
En noviembre de 2016, la botnet Avalanche fue destruida después de un proyecto de cuatro años realizado por un consorcio internacional de organizaciones policiales, comerciales, académicas y privadas.
Avalanche fue descubierto en diciembre de 2008 y puede haber sido el reemplazo de un grupo de phishing conocido como Rock Phish que dejó de operar en 2008. [1] Se manejaba desde Europa del Este y los investigadores de seguridad le dieron su nombre debido al alto volumen de sus ataques. [2] [3] Avalanche lanzó el 24% de los ataques de phishing en la primera mitad de 2009; en la segunda mitad de 2009, el Grupo de Trabajo Anti-Phishing (APWG) registró 84.250 ataques de Avalanche, lo que constituye el 66% de todos los ataques de phishing. El número total de ataques de phishing se duplicó con creces, un aumento que el APWG atribuye directamente a Avalanche. [4]
Avalanche utilizaba correos electrónicos no deseados que pretendían provenir de organizaciones de confianza, como instituciones financieras o sitios web de empleo. Las víctimas eran engañadas para que ingresaran información personal en sitios web que aparentaban pertenecer a estas organizaciones. En ocasiones, se les convencía para que instalaran software adjunto a los correos electrónicos o en un sitio web. El malware registraba las pulsaciones de teclas , robaba contraseñas e información de tarjetas de crédito y permitía el acceso remoto no autorizado al equipo infectado.
El informe de tendencias de phishing de Internet Identity correspondiente al segundo trimestre de 2009 afirma que Avalanche "tiene un conocimiento detallado de las plataformas de banca comercial, en particular de los sistemas de gestión de tesorería y del sistema de Cámara de Compensación Automatizada (ACH). También están realizando ataques de intermediarios en tiempo real que superan con éxito los tokens de seguridad de dos factores". [5]
Avalanche tenía muchas similitudes con el grupo anterior Rock Phish (el primer grupo de phishing que utilizó técnicas automatizadas), pero con mayor escala y volumen. [6] Avalanche alojaba sus dominios en computadoras comprometidas (una botnet ). No había un único proveedor de alojamiento , lo que dificultaba la eliminación del dominio y requería la participación del registrador de dominio responsable .
Además, Avalanche utilizó DNS de flujo rápido , lo que provocó que las máquinas comprometidas cambiaran constantemente. Los ataques de Avalanche también propagaron el troyano Zeus, lo que permitió que se produjeran más actividades delictivas. La mayoría de los dominios que utilizó Avalanche pertenecían a registradores de nombres de dominio nacionales de Europa y Asia. Esto difiere de otros ataques de phishing, en los que la mayoría de los dominios utilizan registradores estadounidenses . Parece que Avalanche eligió a los registradores en función de sus procedimientos de seguridad, y volvió repetidamente a los registradores que no detectan los dominios que se utilizan para el fraude o que tardan en suspender los dominios abusivos. [5] [7]
Avalanche registraba dominios con frecuencia en varios registradores, mientras probaba otros para comprobar si sus dominios distintivos eran detectados y bloqueados. Se dirigían a un pequeño número de instituciones financieras a la vez, pero las rotaban con regularidad. Un dominio que no era suspendido por un registrador se reutilizaba en ataques posteriores. El grupo creó un "kit" de phishing, que venía preparado previamente para su uso contra muchas instituciones víctimas. [5] [8]
Avalanche atrajo mucha atención de las organizaciones de seguridad; como resultado, el tiempo de actividad de los nombres de dominio que utilizó fue la mitad del de otros dominios de phishing. [4]
En octubre de 2009, la ICANN , la organización que gestiona la asignación de nombres de dominio, emitió una nota de alerta situacional en la que se alentaba a los registradores a ser proactivos a la hora de abordar los ataques de Avalanche. [9] El registro del Reino Unido, Nominet, ha cambiado sus procedimientos para facilitar la suspensión de dominios debido a los ataques de Avalanche. [4] Interdomain, un registrador español, comenzó a exigir un código de confirmación entregado por teléfono móvil en abril de 2009, lo que obligó con éxito a Avalanche a dejar de registrar dominios fraudulentos con ellos. [5]
En 2010, el APWG informó que Avalanche había sido responsable de dos tercios de todos los ataques de phishing en la segunda mitad de 2009, describiéndolo como "uno de los más sofisticados y dañinos en Internet" y "la banda de phishing más prolífica del mundo". [4]
En noviembre de 2009, las empresas de seguridad lograron cerrar la botnet Avalanche por un corto tiempo; después de esto, Avalanche redujo la escala de sus actividades y modificó su modus operandi . Para abril de 2010, los ataques de Avalanche habían disminuido a solo 59 desde un máximo de más de 26.000 en octubre de 2009, pero la disminución fue temporal. [1] [4]
El 30 de noviembre de 2016, la botnet Avalanche fue destruida al final de un proyecto de cuatro años por INTERPOL , Europol , la Fundación Shadowserver , [10] Eurojust , la policía de Luneberg (Alemania), la Oficina Federal Alemana para la Seguridad de la Información (BSI), el Fraunhofer FKIE, varias compañías antivirus organizadas por Symantec , ICANN , CERT , el FBI y algunos de los registros de dominio que habían sido utilizados por el grupo.
Symantec realizó ingeniería inversa del malware cliente y el consorcio analizó 130 TB de datos capturados durante esos años. Esto le permitió vencer la ofuscación DNS distribuida de flujo rápido , mapear la estructura de comando/control [11] de la botnet e identificar sus numerosos servidores físicos.
Se registraron 37 locales, se incautaron 39 servidores, se eliminaron de la red 221 servidores alquilados cuando se notificó a sus propietarios involuntarios, se liberaron del control remoto 500.000 computadoras zombi , se privó de control a 17 familias de malware y se arrestó a las cinco personas que dirigían la botnet.
El servidor de sumidero de las fuerzas del orden , descrito en 2016 como el "más grande de la historia", con 800.000 dominios atendidos, recopila las direcciones IP de las computadoras infectadas que solicitan instrucciones a la botnet para que los ISP que las poseen puedan informar a los usuarios de que sus máquinas están infectadas y proporcionar software de eliminación. [12] [13] [14]
Las siguientes familias de malware estaban alojadas en Avalanche:
La red Avalanche también proporcionó las comunicaciones c/c para estas otras botnets: