Sécurité IT : le botnet Avalanche ne cassera plus la banque

CyberDéfenseSécuritéVirus
botnet-avalanche

Quatre années d’enquête ont abouti au démantèlement, ce mercredi, d’un botnet bancaire à l’architecture complexe baptisé Avalanche.

Cinq personnes arrêtées, 37 perquisitions, 39 serveurs saisis et 221 mis hors ligne avec le concours des hébergeurs, mais aussi « plus de 800 000 domaines » bloqués : c’est le bilan de l’opération internationale menée pour démanteler le botnet Avalanche.

Après quatre années d’enquête, le coup de grâce a été donné ce mercredi 30 novembre 2016,sous la houlette des autorités allemandes, en coopération avec leurs homologues américaines et Europol.

Il semble qu’Avalanche ait été utilisé depuis 2009 pour diffuser des logiciels malveillants et lancer des campagnes de phishing. Il aurait envoyé, chaque semaine, plus d’un million d’e-mails contenant des liens ou des pièces jointes malveillants.

Les investigations avaient démarré en Allemagne après une infection massive par un ransomware (« Windows Encryption Trojan »).

Les recherches ont démontré que le rôle principal d’Avalanche était de voler des identifiants de banque en ligne. Le botnet était d’ailleurs également utilisé pour recruter des « mules » chargées de blanchir l’argent dérobé en réalisant des achats.

Rien qu’en Allemagne, le préjudice lié aux attaque sur des systèmes de banque en ligne s’éléverait à 6 millions d’euros. Il faudrait, selon Europol, y ajouter des centaines de millions d’euros en conséquence des malware diffusés dans plus de 180 pays. Mais selon l’office de police criminelle, il est très difficile de donner une estimation au vu du nombre de souches malicieuses diffusées : une vingtaine de familles en l’occurrence, dont GozNym, Matsnu, URLZone, Panda Banker et XswKit.

L’analyse de plus de 130 téraoctets de données a permis de déterminer la structure de ce botnet qui contrôlait régulièrement plus de 500 000 machines.

Il a été découvert une architecture en « fast-flux double ». Dans les grandes lignes, elle permet rendre beaucoup plus difficile la localisation du serveur principal en exploitant les ordinateurs zombies comme des « proxys inversés ». Quand le « fast-flux simple » permet d’attribuer plusieurs adresses IP à un même nom de domaine, sa version double fait de même pour les DNS (voir l’infographie d’Europol pour plus de précisions).


Lire la biographie de l´auteur  Masquer la biographie de l´auteur