Avalanche (grupo de phishing) - Avalanche (phishing group)
O Avalanche era um sindicato criminoso envolvido em ataques de phishing , fraude bancária online e ransomware . O nome também se refere à rede de sistemas próprios, alugados e comprometidos usados para realizar essa atividade. O Avalanche infectou apenas computadores que executam o sistema operacional Microsoft Windows .
Em novembro de 2016, o botnet Avalanche foi destruído após um projeto de quatro anos por um consórcio internacional de organizações policiais, comerciais, acadêmicas e privadas.
História
O Avalanche foi descoberto em dezembro de 2008 e pode ter sido o substituto de um grupo de phishing conhecido como Rock Phish, que parou de operar em 2008. Ele era administrado na Europa Oriental e recebeu seu nome por pesquisadores de segurança devido ao alto volume de seus ataques. O Avalanche lançou 24% dos ataques de phishing no primeiro semestre de 2009; no segundo semestre de 2009, o Anti-Phishing Working Group (APWG) registrou 84.250 ataques por Avalanche, constituindo 66% de todos os ataques de phishing. O número total de ataques de phishing mais do que dobrou, um aumento que o APWG atribui diretamente ao Avalanche.
O Avalanche usou e-mail de spam supostamente vindo de organizações confiáveis, como instituições financeiras ou sites de empregos. As vítimas foram enganadas ao inserir informações pessoais em sites que pareciam pertencer a essas organizações. Às vezes, eles eram induzidos a instalar software anexado aos e-mails ou em um site. O malware registrava pressionamentos de teclas , roubava senhas e informações de cartão de crédito e permitia acesso remoto não autorizado ao computador infectado.
O relatório de tendências de phishing da Internet Identity para o segundo trimestre de 2009 disse que o Avalanche "tem conhecimento detalhado das plataformas de banco comercial, particularmente sistemas de gestão de tesouraria e o sistema Automated Clearing House (ACH). Eles também estão realizando man-in em tempo real com sucesso ataques intermediários que anulam tokens de segurança de dois fatores. "
O Avalanche tinha muitas semelhanças com o grupo anterior Rock Phish - o primeiro grupo de phishing que usava técnicas automatizadas - mas com maior em escala e volume. O Avalanche hospedava seus domínios em computadores comprometidos (um botnet ). Não havia um único provedor de hospedagem , o que dificultava a retirada do domínio e exigia o envolvimento do registrador de domínio responsável .
Além disso, o Avalanche usou DNS de fluxo rápido , fazendo com que as máquinas comprometidas mudassem constantemente. Os ataques de avalanche também espalharam o cavalo de Tróia de Zeus, permitindo mais atividades criminosas. A maioria dos domínios usados pelo Avalanche pertencia a registradores de nomes de domínio nacionais na Europa e na Ásia. Isso difere de outros ataques de phishing, em que a maioria dos domínios usa registradores dos EUA . Parece que o Avalanche escolheu registradores com base em seus procedimentos de segurança, voltando repetidamente para registradores que não detectam domínios sendo usados para fraudes ou que demoram a suspender domínios abusivos.
O Avalanche freqüentemente registrava domínios com vários registradores, enquanto testava outros para verificar se seus domínios distintos estavam sendo detectados e bloqueados. Eles tinham como alvo um pequeno número de instituições financeiras por vez, mas alternavam-nas regularmente. Um domínio que não foi suspenso por um registrador foi reutilizado em ataques posteriores. O grupo criou um "kit" de phishing, que veio pré-preparado para uso contra muitas instituições vítimas.
O Avalanche atraiu atenção significativa das organizações de segurança; como resultado, o tempo de atividade dos nomes de domínio usados foi a metade do de outros domínios de phishing.
Em outubro de 2009, ICANN , a organização que gerencia a atribuição de nomes de domínio, emitiu uma Nota de Conscientização da Situação, incentivando os registradores a serem proativos ao lidar com ataques de avalanche. O registro do Reino Unido, Nominet , mudou seus procedimentos para tornar mais fácil suspender domínios devido aos ataques do Avalanche. Interdomain, um registrador espanhol, começou a exigir um código de confirmação entregue por telefone celular em abril de 2009, o que forçou o Avalanche a parar de registrar domínios fraudulentos com eles.
Em 2010, o APWG relatou que o Avalanche foi responsável por dois terços de todos os ataques de phishing no segundo semestre de 2009, descrevendo-o como "um dos mais sofisticados e prejudiciais da Internet" e "a gangue de phishing mais prolífica do mundo" .
Derrubar
Em novembro de 2009, as empresas de segurança conseguiram encerrar o botnet Avalanche por um curto período; depois desta Avalanche reduziu a escala de suas atividades e alterou seu modus operandi . Em abril de 2010, os ataques do Avalanche diminuíram para apenas 59, de uma alta de mais de 26.000 em outubro de 2009, mas a redução foi temporária.
Em 30 de novembro de 2016, o botnet Avalanche foi destruído no final de um projeto de quatro anos pela INTERPOL , Europol , a Fundação Shadowserver , Eurojust , a polícia de Luneberg (Alemanha), o Escritório Federal Alemão para Segurança da Informação (BSI), o Fraunhofer FKIE, várias empresas de antivírus organizadas pela Symantec , ICANN , CERT , o FBI e alguns dos registros de domínio que foram usados pelo grupo.
A Symantec fez a engenharia reversa do malware do cliente e o consórcio analisou 130 TB de dados capturados durante esses anos. Isso permitiu que ele derrotasse a ofuscação de DNS distribuída de fluxo rápido , mapear a estrutura de comando / controle do botnet e identificar seus inúmeros servidores físicos.
37 instalações foram revistadas, 39 servidores apreendidos, 221 servidores alugados foram removidos da rede quando seus proprietários involuntários foram notificados, 500.000 computadores zumbis foram libertados do controle remoto, 17 famílias de malware foram privadas de c / c e as cinco pessoas que correu o botnet foram presos.
O servidor sumidouro da aplicação da lei , descrito em 2016 como o "maior de todos", com 800.000 domínios servidos, coleta os endereços IP de computadores infectados que solicitam instruções do botnet para que os ISPs que os possuem possam informar aos usuários que suas máquinas estão infectadas e fornecer software de remoção.
Malware privado de infraestrutura
As seguintes famílias de malware foram hospedadas no Avalanche:
- Cavalo de Tróia com criptografia do Windows (WVT) (também conhecido como Matsnu, Injector, Rannoh, Ransomlock.P)
- URLzone (também conhecido como Bebloh)
- Cidadela
- VM-ZeuS (também conhecido como KINS)
- Bugat (também conhecido como Feodo, Geodo, Cridex, Dridex, Emotet )
- newGOZ (também conhecido como GameOverZeuS)
- Tinba (também conhecido como TinyBanker)
- Nymaim / GozNym
- Vawtrak (também conhecido como Neverquest)
- Marcher
- Pandabanker
- Ranbyus
- Smart App
- TeslaCrypt
- App Trusteer
- Xswkit
A rede Avalanche também forneceu as comunicações c / c para essas outras redes de bots:
- TeslaCrypt
- Nymaim
- Corebot
- GetTiny
- Matsnu
- Rovnix
- Urlzone
- QakBot (também conhecido como Qbot, PinkSlip Bot)