Las fuerzas del orden y las empresas de Internet de todo el mundo han trabajado juntos para acabar con una de las mayores redes de la delincuencia cibernética, que se han descubierto en los últimos diez años
Sus esfuerzos dieron como resultado la detención de cinco sospechosos, la incautación de 37 servidores, y el derribo de 221 otros servidores.
De acuerdo con las declaraciones de Europol y el Departamento de Justicia de Estados Unidos, los sospechosos habían estado utilizando esta infraestructura para una red global en materia de crimen que se encargó de difundir y acogerá a más de 20 familias de malware diferentes, que van desde ransomware a troyanos bancarios.
Esta red, que las autoridades han apodado "avalancha", alquilaba el acceso a sus servicios a los autores de malware, que utiliza sus recursos para enviar correo no deseado, de acogida y propagar su malware, anfitrión-comando y control (C & C) servidores, sino también la coordenada la contratación de mulas de dinero para el blanqueo de fondos robados.
Los investigadores en más de 30 países contribuyeron al derribo de la red de avalancha. Las fuerzas del orden y de investigación incluyen Europol, Eurojust, Interpol, el FBI, el Departamento de Justicia de Estados Unidos, y muchos organismos de lucha contra la delincuencia nacional.
Organizaciones de Internet y empresas de tecnología, tales como la ICANN, Symantec, la Fundación Shadowserver, Registrador de último recurso, y otros, también ayudarón.
Las autoridades bloquearón más de 800.000 dominios utilizados por varias redes de bots de malware. El gran número de dominios se debía a que la mayor parte de las redes de bots utiliza una técnica conocida como doble flujo rápido DNS, que pasa por un gran número de dominios por día para ocultar la ubicación del servidor de C & C de la red de bots.
Estas redes de bots se refieren a menudo como botnets P2P, porque tienen una punto a punto similar a la operación, no necesariamente debido a que utilizan protocolos P2P.
De acuerdo con el CERT de los Estados Unidos, la red de la avalancha se utiliza para alojar las siguientes familias de malware
Ventanas de cifrado de caballo de Troya (WVT) (también conocido como Matsnu, inyector, Rannoh, Ransomlock.P), URLzone (aka Bebloh), Citadel, VM-ZeuS (aka KINS), Bugat (aka Feodo, Geodo, Cridex, Dridex, Emotet),ewGOZ (aka GameOverZeuS), Tinba (aka TinyBanker), Nymaim/GozNym, Vawtrak (aka Neverquest), Marcher, Pandabanker, Ranbyus, Smart App
Avalancha también alquiló el acceso a su infraestructura de comunicaciones rápida botnet de flujo de las siguientes familias de malware: TeslaCrypt, Nymaim, Corebot, GetTiny, Matsne, Rovnix, URLzone, Qakbot (también conocido como Qbot, pinkslip Bot)
De acuerdo con Symantec, la investigación de la red de la avalancha comenzó a principios de 2012 después de los autores de malware han diseñado y difundieran un ransomware que utiliza advertencias de la policía falsos para bloquear los archivos de los usuarios y de los pagos petición de rescate.
El nombre del ransomware era Ransomlock.P , y apareció unos meses antes, a finales de 2011. La policía alemana oficialmente comenzo la investigación de la avalancha debido a que el ransomware utiliza su nombre de un crimen, aunque no sabían en el momento lo que acabarían descubriendo.
Fernando Ruiz, jefe de operaciones en la Ciberdelincuencia Centro de Europol, dijo a The Associated Press que se han detenido los líderes de la red de la avalancha. Los fiscales alemanes dijeron también que algunos miembros de bajo nivel podrían haber escapado.
Las autoridades alemanas dijeron que los ladrones lograron robar más de 6 millones € ($ 6.4 millones) sólo de los bancos alemanes solo. Europol estima que los delincuentes que utilizan la red avalancha podrían haber robado cientos de millones de euros en todo el mundo.
Además de fraude bancario y correo no deseado, las autoridades dijeron que la red avalancha también se utilizó para alojar software malintencionado, que lanzó ataques DDoS. Europol también estima que los botnets Avalanche enviaron un total de un millón de mensajes de spam por semana.
Los investigadores creen que los ladrones establecieron la red de la avalancha en 2009, y que más de 500.000 usuarios todavía tienen ordenadores infectados con diversos tipos de malware que se distribuye a través de esta red de delincuencia-como-un-servicio. El derribo tuvo lugar el 30 de noviembre de 2016, pero se anunció un día después, el 1 de diciembre.
Estos usuarios deben saber que mientras que la infraestructura de back-end del malware ha sido puesto fuera de línea, el malware está todavía presente en sus PC, y que necesitan para eliminarlo. Las botnets se han levantado de entre los muertos antes, y dejando el malware neutralizado actualmente en un PC expone a los usuarios a situaciones en las que un nuevo grupo de delito cibernético podría encontrar una manera de apropiarse de los dispositivos infectados en una nueva red de bots.
