Cinq personnes arrêtées, 37 perquisitions, 39 serveurs saisis et 221 mis hors ligne avec le concours des hébergeurs, mais aussi « plus de 800 000 domaines » bloqués : c’est le bilan de l’opération internationale menée pour démanteler le botnet Avalanche.
Après quatre années d’enquête, le coup de grâce a été donné ce mercredi 30 novembre 2016,sous la houlette des autorités allemandes, en coopération avec leurs homologues américaines et Europol.
Il semble qu’Avalanche ait été utilisé depuis 2009 pour diffuser des logiciels malveillants et lancer des campagnes de phishing. Il aurait envoyé, chaque semaine, plus d’un million d’e-mails contenant des liens ou des pièces jointes malveillants.
Les investigations avaient démarré en Allemagne après une infection massive par un ransomware (« Windows Encryption Trojan »).
Les recherches ont démontré que le rôle principal d’Avalanche était de voler des identifiants de banque en ligne. Le botnet était d’ailleurs également utilisé pour recruter des « mules » chargées de blanchir l’argent dérobé en réalisant des achats.
Rien qu’en Allemagne, le préjudice lié aux attaque sur des systèmes de banque en ligne s’éléverait à 6 millions d’euros. Il faudrait, selon Europol, y ajouter des centaines de millions d’euros en conséquence des malware diffusés dans plus de 180 pays. Mais selon l’office de police criminelle, il est très difficile de donner une estimation au vu du nombre de souches malicieuses diffusées : une vingtaine de familles en l’occurrence, dont GozNym, Matsnu, URLZone, Panda Banker et XswKit.
L’analyse de plus de 130 téraoctets de données a permis de déterminer la structure de ce botnet qui contrôlait régulièrement plus de 500 000 machines.
Il a été découvert une architecture en « fast-flux double ». Dans les grandes lignes, elle permet rendre beaucoup plus difficile la localisation du serveur principal en exploitant les ordinateurs zombies comme des « proxys inversés ». Quand le « fast-flux simple » permet d’attribuer plusieurs adresses IP à un même nom de domaine, sa version double fait de même pour les DNS (voir l’infographie d’Europol pour plus de précisions).
Deux offres de cybersécurité portées par ITrust et Docaposte intègrent des suites collaboratives. Présentation.
Les dernières migrations de Windows 10 vers Windows 11 vont accélérer l'adoption des PC IA. Mais des…
L’IA générative excelle dans plusieurs cas d’usage, notamment dans l’analyse, la recherche et la synthèse…
Trop tôt pour envisager d'acquérir un PC Copilot+ ? Les roadmaps d'Intel et d'AMD peuvent…
Dévoilés lors du CES 2025, les PC Copilot+ au format convertible restent encore limitée dans…
Les fonctionnalités de Gemini sont intégrées dans la suite bureautique Google Workspace. Conséquence : les…