Demontirana mreža za distribuciju malvera ''Avalanche'', uhapšene vođe kriminalne grupe

Sajber hronika, 02.12.2016, 11:30 AM

Posle više od četiri godine, istraga nemačkih vlasti o mreži "Avalanche" potpomognuta saradnjom sa kancelarijom javnog tužioca Pensilvanije, američkim Ministarstvom pravde, FBI, Europolom i Eurojustom, kao i drugim saradnicima iz celog sveta, završena je hapšenjem petorice osumnjičenih, čemu su prethodili brojni pretresi u kojima je zaplenjeno 39 i oboreno 221 servera.

Tako je demontirana jedna od najvećih mreža sajber kriminala koja je otkrivena u protekloj deceniji i koja je odgovorna za širenje i hostovanje više od 20 familija malvera, među kojima je bilo i ransomwarea i bankarskih trojanaca. Žrtve infekcije ovim malverima identifikovane su u više od 180 zemalja, a u istrazi su učestvovali istražitelji iz više od 30 zemalja.

Grupa "Avalanche" je autorima malvera rentirala pristup infrastrukturi, a oni su je koristili za slanje spam emailova, hostovanje i širenje svojih malvera, hostovanje komandno-kontrolnih servera, ali i za koordinaciju onima koji su bili zaduženi za pranje ukradenog novca ("money mules").

Zaplenjeno je ili blokirano više od 800000 domena koji su korišćeni za različite malvere. Tako veliki broj domena se objašnjava time da je većina botnetova koristila tehniku "fast flux DNS", koja podrazumeva upotrebu velikog broja domena na dnevnom nivou kako bi sakrila lokacija komando-kontrolnog servera botneta.

"Avalanche" je korišćen za hostovanje sledećih familija malvera: Windows-encryption Trojan horse (WVT) (zvani Matsnu, Injector, Rannoh, Ransomlock.P), URLzone (zvani Bebloh), Citadel, VM-ZeuS (zvani KINS), Bugat (zvani Feodo, Geodo, Cridex, Dridex, Emotet), newGOZ (zvani GameOverZeuS), Tinba (zvani TinyBanker), Nymaim/GozNym, Vawtrak (zvani Neverquest), Marcher, Pandabanker, Ranbyus, Smart App, TeslaCrypt, Trusteer App, Xswkit.

"Avalanche" iznajmljivao pristup svojoj "fast flux" infrastrukturi sledećim familijama malvera: TeslaCrypt, Nymaim, Corebot, GetTiny, Matsnu, Rovnix, Urlzone, QakBot (zvani Qbot, PinkSlip Bot),

Istraga u kojoj su učetvovale i brojne privatne kompanije počela je početkom 2012. godine, kada je započelo širenje ransomwarea koji je koristio lažna upozorenja policije i zaključavao fajlove korisnika kako bi posle toga tražio od žrtava da plate otkupninu. Reč je o Ransomlock.P, koji se pojavio nekoliko meseci pre toga, a nemačka policija je pokrenula istragu jer je Rasnomlock.P prikazivao lažna upozorenja nemačke policije.

Fernardo Ruiz, šef operacija u Europolovom Centru za sajber kriminal, rekao je AP-u da su vođe kriminalne mreže "Avalanche" uhapšene, a nemački tužioci kažu da su se neki niže rangirani članovi bande izvukli. Nemačke vlasti su saopštile da je grupa uspela da ukrade više od 6 miliona evra i to samo iz nemačkih banaka. Procenjuje se da su kriminalci koristili "Avalanche" mrežu ukrali ili su mogli da ukradu stotine miliona evra u celom svetu.

"Avalanche" mreža je korišćena i za hostovanje malvera koji su pokretali DDoS napade. "Avalanche" bot mreže slale su ukupno milion spam poruka nedeljno, procena je Europola.

Istražitelji smatraju da je "Avalanche" mreža napravljena 2009. godine, i da je više o pola miliona računara još uvek inficirano različitim malverima koji su distribuirani preko mreže.

Iako je pozadinska infrastruktura offline, malveri se i dalje nalaze na računarima i treba ih ukloniti. I ranije se dešavalo da se bot mreže "dignu iz mrtvih", što je dovodilo do toga da privremeno neutralisani malveri na računarima ponovo izlažu opasnosti korisnike kada neka druga grupa sajber kriminaca nađe način da iskoristi inficirane uređaje i regrutuje ih u novu bot mrežu.