Avalanche (фишинговая группа)

Киберпреступный синдикат

Avalanche был преступным синдикатом, занимавшимся фишинговыми атаками, мошенничеством с онлайн-банкингом и программами-вымогателями . Название также относится к сети собственных, арендованных и скомпрометированных систем, используемых для выполнения этой деятельности. Avalanche заражал только компьютеры под управлением операционной системы Microsoft Windows.

В ноябре 2016 года ботнет Avalanche был уничтожен в результате четырехлетнего проекта международного консорциума правоохранительных органов, коммерческих, академических и частных организаций.

История

Avalanche была обнаружена в декабре 2008 года и, возможно, была заменой фишинговой группы, известной как Rock Phish, которая прекратила свою деятельность в 2008 году. ^[1] Она управлялась из Восточной Европы и получила свое название от исследователей безопасности из-за большого объема ее атак. ^{[2] [3]} Avalanche запустила 24% фишинговых атак в первой половине 2009 года; во второй половине 2009 года Рабочая группа по борьбе с фишингом (APWG) зафиксировала 84 250 атак Avalanche, что составило 66% всех фишинговых атак. Общее количество фишинговых атак увеличилось более чем вдвое, и APWG напрямую приписывает это Avalanche. ^[4]

Avalanche использовала спам-сообщения , якобы отправленные доверенными организациями, такими как финансовые учреждения или сайты по трудоустройству. Жертвы были обмануты, вводя личную информацию на веб-сайтах, которые выглядели так, будто они принадлежат этим организациям. Иногда их обманом заставляли устанавливать программное обеспечение, прикрепленное к письмам или на веб-сайте. Вредоносное ПО регистрировало нажатия клавиш , крал пароли и данные кредитных карт и позволяло осуществлять несанкционированный удаленный доступ к зараженному компьютеру.

В отчете Internet Identity о тенденциях фишинга за второй квартал 2009 года говорится, что Avalanche «обладает подробными знаниями о коммерческих банковских платформах, в частности, о системах управления казначейством и системе автоматизированной клиринговой палаты (ACH). Они также успешно выполняют атаки типа «человек посередине» в режиме реального времени , которые обходят двухфакторные токены безопасности». ^[5]

Avalanche имела много общего с предыдущей группой Rock Phish — первой фишинговой группой, использовавшей автоматизированные методы, — но с большим масштабом и объемом. ^[6] Avalanche размещала свои домены на взломанных компьютерах ( ботнет ). Не было единого хостинг-провайдера , что затрудняло удаление домена и требовало участия ответственного регистратора домена .

Кроме того, Avalanche использовала DNS с быстрым потоком , заставляя скомпрометированные машины постоянно меняться. Атаки Avalanche также распространяли троянского коня Zeus, что способствовало дальнейшей преступной деятельности. Большинство доменов, которые использовала Avalanche, принадлежали национальным регистраторам доменных имен в Европе и Азии. Это отличается от других фишинговых атак, где большинство доменов используют регистраторов США . Похоже, что Avalanche выбирала регистраторов на основе их процедур безопасности, неоднократно возвращаясь к регистраторам, которые не обнаруживают домены, используемые для мошенничества, или которые медленно приостанавливали домены, нарушающие правила. ^{[5] [7]}

Avalanche часто регистрировала домены у нескольких регистраторов, одновременно проверяя других, чтобы проверить, были ли обнаружены и заблокированы их отличительные домены. Они нацелились на небольшое количество финансовых учреждений за раз, но регулярно их меняли. Домен, который не был приостановлен регистратором, повторно использовался в последующих атаках. Группа создала фишинговый «набор», который был заранее подготовлен для использования против многих учреждений-жертв. ^{[5] [8]}

Avalanche привлекла значительное внимание со стороны организаций по безопасности; в результате время безотказной работы доменных имен, которые она использовала, было вдвое меньше, чем у других фишинговых доменов. ^[4]

В октябре 2009 года ICANN , организация, которая управляет присвоением доменных имен, выпустила Ситуационную записку, призывающую регистраторов быть проактивными в борьбе с атаками Avalanche. ^[9] Британский регистратор Nominet изменил свои процедуры, чтобы упростить приостановку доменов из-за атак Avalanche. ^[4] Interdomain, испанский регистратор, начал требовать код подтверждения, отправленный на мобильный телефон в апреле 2009 года, что успешно заставило Avalanche прекратить регистрацию мошеннических доменов у них. ^[5]

В 2010 году APWG сообщила, что Avalanche несет ответственность за две трети всех фишинговых атак во второй половине 2009 года, назвав ее «одной из самых сложных и разрушительных в Интернете» и «самой плодовитой фишинговой бандой в мире». ^[4]

Снять

В ноябре 2009 года компаниям по безопасности удалось на короткое время остановить ботнет Avalanche; после этого Avalanche сократил масштаб своей деятельности и изменил свой modus operandi . К апрелю 2010 года количество атак Avalanche сократилось до всего 59 с максимума в более чем 26 000 в октябре 2009 года, но снижение было временным. ^{[1] [4]}

30 ноября 2016 года ботнет Avalanche был уничтожен в результате четырехлетнего проекта, организованного Интерполом , Европолом , Shadowserver Foundation , ^[10] Евроюстом , полицией Люнеберга (Германия),  Федеральным ведомством по информационной безопасности Германии (BSI), Fraunhofer FKIE, несколькими антивирусными компаниями, организованными Symantec , ICANN , CERT , ФБР и некоторыми доменными реестрами, которые использовались группой.

Symantec провела обратную разработку вредоносного ПО клиента, а консорциум проанализировал 130 ТБ данных, полученных за эти годы. Это позволило обойти быстрое распределение DNS- обфускации, составить карту структуры команд/управления ^[11] ботнета и идентифицировать его многочисленные физические серверы.

Было проведено 37 обысков, изъято 39 серверов, 221 арендованный сервер был удален из сети после уведомления их ничего не подозревающих владельцев, 500 000 зомби-компьютеров были освобождены от удаленного управления, 17 семейств вредоносных программ были лишены прав доступа, а пять человек, управлявших ботнетом, были арестованы.

Сервер-заглушка правоохранительных органов , описанный в 2016 году как «крупнейший из когда-либо существовавших», с 800 000 обслуживаемых доменов, собирает IP-адреса зараженных компьютеров, которые запрашивают инструкции у ботнета, чтобы владеющие ими интернет-провайдеры могли информировать пользователей о том, что их машины заражены, и предоставлять программное обеспечение для удаления. ^{[12] [13] [14]}

Вредоносное ПО лишено инфраструктуры

На Avalanche размещались следующие семейства вредоносных программ:

• Троянский конь для шифрования Windows (WVT) (он же Matsnu, Injector, Rannoh, Ransomlock.P)
• URLzone (он же Bebloh)
• Цитадель
• VM-ZeuS (он же KINS)
• Бугат (он же Феодо, Геодо, Кридекс, Драйдекс, Эмотет )
• newGOZ (он же GameOverZeuS)
• Tinba (он же TinyBanker)
• Нимаим/ГозНим
• Vawtrak (он же Neverquest)
• Марчер
• Пандабанкер
• Ранбьюс
• Умное приложение
• TeslaCrypt
• Приложение Trusteer
• Xswkit

Сеть Avalanche также обеспечивала связь типа «c/c» для следующих ботнетов:

• TeslaCrypt
• Нимейм
• Corebot
• GetTiny
• Мацну
• Ровникс
• Urlzone
• QakBot (он же Qbot, PinkSlip Bot) ^[15]

Ссылки

1. Greene, Tim. "Worst Phishing Pest May be Revving Up". PC World . Архивировано из оригинала 20 мая 2010 года . Получено 2010-05-17 .
2. Макмиллан, Роберт (2010-05-12). "Отчет обвиняет группу 'Avalanche' в большинстве случаев фишинга". Network World . Архивировано из оригинала 2011-06-13 . Получено 2010-05-17 .
3. Макмиллан, Роберт (2010-05-12). "В отчете группа 'Avalanche' обвиняется в большинстве случаев фишинга". Computerworld . Архивировано из оригинала 16 мая 2010 года . Получено 2010-05-17 .
4. Аарон, Грег; Род Расмуссен (2010). "Глобальный обзор фишинга: тенденции и использование доменных имен 2H2009" (PDF) . APWG Industry Advisory . Получено 2010-05-17 .
5. "Отчет о тенденциях фишинга: анализ угроз финансового мошенничества в Интернете во втором квартале 2009 г." (PDF) . Интернет-идентификация . Получено 17.05.2010 .^{[ постоянная мертвая ссылка ]}
6. Каплан, Дэн (12.05.2010). «Фишинг «Avalanche» замедляется, но был в моде в 2009 году». Журнал SC . Архивировано из оригинала 01.02.2013 . Получено 17.05.2010 .
7. Мохан, Рам (2010-05-13). «Состояние фишинга — анализ исследования фишинга APWG и фишинговой банды Avalanche». Security Week . Получено 2010-05-17 .
8. Нарейн, Райан. «Комплект мошеннического ПО «Avalanche» стимулирует фишинговые атаки». ThreatPost . Лаборатория Касперского . Архивировано из оригинала 2010-08-02 . Получено 2010-05-17 .
9. Ито, Юри. «Масштабная фишинговая атака, известная как Avalanche, метод доставки вируса-ботнета Zeus». ICANN Situation Awareness Note 2009-10-06 . ICANN . Архивировано из оригинала 2 апреля 2010 . Получено 2010-05-17 .
10. "Фонд Shadowserver - Shadowserver - Миссия".
11. "Операция Avalanche Infograph". europol.europa.eu . Получено 9 ноября 2021 г. .
12. Питерс, Сара (1 декабря 2016 г.). «Ботнет Avalanche рухнул в ходе крупнейшей в истории операции по подкопу». darkreading.com . Получено 3 декабря 2016 г.
13. Symantec Security Response (1 декабря 2016 г.). «Сеть вредоносного ПО Avalanche атакована правоохранительными органами». Symantec Connect . Symantec . Получено 3 декабря 2016 г. .
14. Европол (1 декабря 2016 г.). «Сеть «Лавина» демонтирована в ходе международной кибероперации». europol.europa.eu . Европол . Получено 3 декабря 2016 г. .
15. US-CERT (30 ноября 2016 г.). "Alert TA16-336A". us-cert.gov . CERT . Получено 3 декабря 2016 г. .

Внешние ссылки

• Совместная кибероперация уничтожила преступную сеть Avalanche ( ФБР )