Tutoriales y Manuales
Entradas Mensuales
-
►
2024
(Total:
1090
)
- ► septiembre (Total: 50 )
-
►
2023
(Total:
710
)
- ► septiembre (Total: 65 )
-
►
2022
(Total:
967
)
- ► septiembre (Total: 72 )
-
►
2021
(Total:
730
)
- ► septiembre (Total: 56 )
-
►
2020
(Total:
212
)
- ► septiembre (Total: 21 )
-
►
2019
(Total:
102
)
- ► septiembre (Total: 14 )
-
►
2017
(Total:
231
)
- ► septiembre (Total: 16 )
-
▼
2016
(Total:
266
)
-
▼
diciembre
(Total:
21
)
- Cables USB tipo C
- Graves vulnerabilidades en el sistema de entreteni...
- Hackean la cuenta de Twitter de Netflix, Marvel y ...
- La9deAnon hackea la Cámara de Comercio de Madrid
- Una banda de criminales rusos ganan entre 3 y 5 mi...
- Lo más buscado en Google en 2016: Google Zeitgeist
- Libro gratuito: Hacking de redes con Python y Scapy
- Cineastas y periodistas piden a los fabricantes de...
- WhatsApp permitirá eliminar mensajes ya enviados
- Yahoo! confirma que fue hackeado de nuevo y fueron...
- Encuentran nuevos troyanos en el firmware de teléf...
- 34 detenidos en Europa por lanzar ataques DDoS y n...
- CERT recomienda a los usuarios dejar de usar dos r...
- Análisis forense en imágenes digitales
- La mitad de empresas afectadas por ransomware, pag...
- Se cumplen 20 años del artículo "Smashing the Stac...
- Así fue descrita la primera inyección SQL de la hi...
- Se alquila botnet Mirai formada por 400 mil dispos...
- La Operación Avalanche contra el fraude se salda c...
- Hackean el correo del autor del ransomware que inf...
- El gusano Mirai es el responsable del ataque a los...
- ► septiembre (Total: 38 )
-
▼
diciembre
(Total:
21
)
-
►
2015
(Total:
445
)
- ► septiembre (Total: 47 )
-
►
2014
(Total:
185
)
- ► septiembre (Total: 18 )
-
►
2013
(Total:
100
)
- ► septiembre (Total: 3 )
-
►
2011
(Total:
7
)
- ► septiembre (Total: 1 )
Blogroll
Etiquetas
seguridad
(
396
)
privacidad
(
364
)
google
(
355
)
ransomware
(
341
)
vulnerabilidad
(
305
)
Malware
(
265
)
Windows
(
246
)
android
(
244
)
cve
(
237
)
tutorial
(
237
)
manual
(
222
)
software
(
206
)
hardware
(
196
)
linux
(
127
)
twitter
(
117
)
ddos
(
95
)
WhatsApp
(
92
)
Wifi
(
85
)
cifrado
(
77
)
herramientas
(
75
)
hacking
(
73
)
sysadmin
(
68
)
app
(
65
)
Networking
(
57
)
nvidia
(
53
)
ssd
(
51
)
youtube
(
50
)
firmware
(
44
)
adobe
(
43
)
office
(
41
)
hack
(
40
)
firefox
(
36
)
contraseñas
(
32
)
eventos
(
32
)
antivirus
(
31
)
juegos
(
31
)
cms
(
30
)
flash
(
28
)
anonymous
(
27
)
apache
(
26
)
MAC
(
25
)
programación
(
25
)
exploit
(
23
)
multimedia
(
23
)
javascript
(
22
)
Kernel
(
20
)
ssl
(
19
)
SeguridadWireless
(
17
)
documental
(
16
)
Forense
(
15
)
conferencia
(
15
)
Debugger
(
14
)
lizard squad
(
14
)
técnicas hacking
(
13
)
auditoría
(
12
)
delitos
(
11
)
metasploit
(
11
)
Virtualización
(
10
)
adamo
(
9
)
reversing
(
9
)
Rootkit
(
8
)
Ehn-Dev
(
7
)
MAC Adress
(
6
)
antimalware
(
6
)
oclHashcat
(
5
)
Entradas populares
-
Después de ver qué es una vCPU y la diferencia entre núcleos (cores) e hilos en los procesadores, pasamos a explicar toda la nomenclatura d...
-
iperf3 es la última versión del popular programa iperf para medir el ancho de banda entre dos o más equipos en red local o Internet . Es...
-
A finales del mes de agosto hablábamos de que los legisladores estadounidense habían solicitado la investigación de TP-Link . Y así, ya ten...
La Operación Avalanche contra el fraude se salda con 800.000 dominios bloqueados
viernes, 2 de diciembre de 2016
|
Publicado por
el-brujo
|
Editar entrada
Una red de bots que ha servido de ataques de phishing y al menos 17
tipos de malware diferentes durante gran parte de esta década ha sido
reducida en un esfuerzo coordinado por un grupo internacional de
agencias policiales y empresas de seguridad. Los agentes de la ley se
apoderaron de los servidores de mando y tomaron el control de más de
800.000 dominios de Internet utilizados por la botnet, denominada
"Avalanche", que ha estado funcionando desde al menos a finales de 2009.
Europol ha asegurado que durante la operación se han realizado registros en 37 locales y se han incautado 39 servidores. Se estima que la red tenía el control de 500.000 ordenadores infectados con víctimas en alrededor de 180 países.
Avalanche es una plataforma de administración y entrega de contenido Double Fast Flux (Wikipedia) diseñada para la entrega y la llamada gestión a prueba de balas de botnets. Más de 20 familias de malware diferentes que utilizan algoritmos de Generación de Dominio (DGA) y la infraestructura criminal operativa en 30 países y estados de EE. UU. Afectaron a más de 60 registros en todo el mundo requiriendo niveles sin precedentes de asociación internacional efectiva.
Los países participantes en la operación policial internacional son: Estados Unidos, Armenia, Australia, Austria, Azerbaiyán, Bélgica, Belice, Bulgaria, Canadá, Colombia, Finlandia, Francia, Alemania, España (Gibraltar), Hungría, India, Italia, Lituania, Luxemburgo, Moldavia, Montenegro, Holanda, Noruega, polonia, rumania, Singapur, Suecia, Taiwán, Ucrania, y el Reino Unido.
Esta operación ha constituido un gigantesco esfuerzo que implica una compleja coordinación internacional, y la retirada final de operaciones de la sede de Europol / EC3 durante los últimos tres días. La operación de desmontaje fue anunciada públicamente a las 15:00 UTC del 1 de diciembre de 2016.
En un momento, la red Avalanche fue responsable de dos tercios de todos los ataques de phishing.
Un comunicado de Europol sobre la operación proporcionó más detalles, indicando: [Cinco] personas fueron arrestadas, se registraron 37 locales y se incautaron 39 servidores. Las víctimas de las infecciones por malware fueron identificadas en más de 180 países. Además, 221 servidores se pusieron fuera de línea a través de notificaciones de abuso enviadas a los proveedores de alojamiento. La operación marca el uso más grande de sinkholing para combatir infraestructuras de botnet y es sin precedentes en su escala, con más de 800 000 dominios incautados, hundeados o bloqueados.
Los dominios incautados han sido "arruinados" para terminar la operación de la botnet, que se calcula que se ha extendido a cientos de miles de computadoras comprometidas en todo el mundo. La oficina del Departamento de Justicia del Distrito Federal Occidental de Pensilvania y la oficina del FBI en Pittsburgh lideraron la porción estadounidense de la destrucción. "Las pérdidas monetarias asociadas con los ataques de malware realizados en la red Avalanche se calculan en cientos de millones de dólares en todo el mundo, aunque los cálculos exactos son difíciles debido al alto número de familias de malware presentes en la red", dijo el FBI y el DOJ En su declaración conjunta.
En 2010, un informe del Grupo de Trabajo Anti-Phishing llamó a Avalanche como "la pandilla de phishing más prolífica del mundo", señalando que la botnet Avalanche fue responsable de dos tercios de todos los ataques de phishing registrados en el segundo semestre de 2009 (84.250 de 126.697 ). "Durante ese tiempo, se dirigió a más de 40 grandes instituciones financieras, servicios en línea y proveedores de búsqueda de empleo", informó APWG. En diciembre de 2009, la red utilizó 959 dominios distintos para sus campañas de phishing. Avalanche también propagó activamente la botnet de fraude financiero de Zeus en ese momento.
Algunos datos de la operación:
Las operaciones de phishing de Avalanche parecen caer en 2010, probablemente debido a que la organización detrás de la botnet se dirigió a otras fuentes de ingresos, utilizando su infraestructura para difundir una variedad de malware en su lugar. Para 2012, la red de mando y control de Avalanche estaba empujando una variedad de software criminalware, incluyendo "ransomware policial". Ese malware falsificó un mensaje de la policía que afirmaba que el sistema de la víctima había estado distribuyendo pornografía ilegal, deshabilitando el equipo infectado hasta que la víctima pagó una "multa" para desbloquearla. Según Symantec, el mismo bloque de servidores de mando y control también fue utilizado por un troyano bancario llamado Bebloh que apuntaba a hablantes alemanes. Esta familia de malware fue investigada en ese momento por la policía en Luneburg, Alemania, y como la investigación se expandió, cada vez más familias de malware fueron descubiertas vinculadas a la misma infraestructura de mando y control.
Los operadores de los botnets utilizaban esta red para ocultar las infraestructuras de mando y control con las que operaban las botnets. Esto quiere decir que si una empresa de seguridad trataba de mapear sus ataques para repelerlos, el hecho de que estos controles estuviesen ocultos en diferentes capas de proxys haría que fuesen casi imposible de detectar.
Bajo la capa de protección de 'Avalanche' han estado trabajando varios tipos de malware, como ladrones de credenciales, ransomware y troyanos bancarios. También lo han hecho varias familias de botnets, como TeslaCrypt, Nymaim, CoreBot, GetTiny, Matsnu, Rovnix, URLZone o QakBot (aka Qbot, PinkSlip Bot).
Fuentes:
http://blog.shadowserver.org/2016/12/01/avalanche/
http://arstechnica.com/security/2016/12/legal-raids-in-five-countries-seize-botnet-servers-sinkhole-800000-domains/
http://www.genbeta.com/seguridad/una-macro-redada-internacional-acaba-con-avalanche-una-red-mundial-de-ocultacion-de-ciberataques
Europol ha asegurado que durante la operación se han realizado registros en 37 locales y se han incautado 39 servidores. Se estima que la red tenía el control de 500.000 ordenadores infectados con víctimas en alrededor de 180 países.
Avalanche es una plataforma de administración y entrega de contenido Double Fast Flux (Wikipedia) diseñada para la entrega y la llamada gestión a prueba de balas de botnets. Más de 20 familias de malware diferentes que utilizan algoritmos de Generación de Dominio (DGA) y la infraestructura criminal operativa en 30 países y estados de EE. UU. Afectaron a más de 60 registros en todo el mundo requiriendo niveles sin precedentes de asociación internacional efectiva.
Los países participantes en la operación policial internacional son: Estados Unidos, Armenia, Australia, Austria, Azerbaiyán, Bélgica, Belice, Bulgaria, Canadá, Colombia, Finlandia, Francia, Alemania, España (Gibraltar), Hungría, India, Italia, Lituania, Luxemburgo, Moldavia, Montenegro, Holanda, Noruega, polonia, rumania, Singapur, Suecia, Taiwán, Ucrania, y el Reino Unido.
Esta operación ha constituido un gigantesco esfuerzo que implica una compleja coordinación internacional, y la retirada final de operaciones de la sede de Europol / EC3 durante los últimos tres días. La operación de desmontaje fue anunciada públicamente a las 15:00 UTC del 1 de diciembre de 2016.
En un momento, la red Avalanche fue responsable de dos tercios de todos los ataques de phishing.
Un comunicado de Europol sobre la operación proporcionó más detalles, indicando: [Cinco] personas fueron arrestadas, se registraron 37 locales y se incautaron 39 servidores. Las víctimas de las infecciones por malware fueron identificadas en más de 180 países. Además, 221 servidores se pusieron fuera de línea a través de notificaciones de abuso enviadas a los proveedores de alojamiento. La operación marca el uso más grande de sinkholing para combatir infraestructuras de botnet y es sin precedentes en su escala, con más de 800 000 dominios incautados, hundeados o bloqueados.
Los dominios incautados han sido "arruinados" para terminar la operación de la botnet, que se calcula que se ha extendido a cientos de miles de computadoras comprometidas en todo el mundo. La oficina del Departamento de Justicia del Distrito Federal Occidental de Pensilvania y la oficina del FBI en Pittsburgh lideraron la porción estadounidense de la destrucción. "Las pérdidas monetarias asociadas con los ataques de malware realizados en la red Avalanche se calculan en cientos de millones de dólares en todo el mundo, aunque los cálculos exactos son difíciles debido al alto número de familias de malware presentes en la red", dijo el FBI y el DOJ En su declaración conjunta.
En 2010, un informe del Grupo de Trabajo Anti-Phishing llamó a Avalanche como "la pandilla de phishing más prolífica del mundo", señalando que la botnet Avalanche fue responsable de dos tercios de todos los ataques de phishing registrados en el segundo semestre de 2009 (84.250 de 126.697 ). "Durante ese tiempo, se dirigió a más de 40 grandes instituciones financieras, servicios en línea y proveedores de búsqueda de empleo", informó APWG. En diciembre de 2009, la red utilizó 959 dominios distintos para sus campañas de phishing. Avalanche también propagó activamente la botnet de fraude financiero de Zeus en ese momento.
Algunos datos de la operación:
- Jurisdicciones: 30
- Arrestos: 5
- Locales en busqueda: 37
- Servidores incautados: 39
- Servidores desconectados en informes de abuso: 221
- Países con IP de víctimas: Más de 180
- Dominios bloqueados o delegados a los sumideros de Shadowserver: Más de 800.000 en más de 60 dominios de nivel superior (TLD)
Las operaciones de phishing de Avalanche parecen caer en 2010, probablemente debido a que la organización detrás de la botnet se dirigió a otras fuentes de ingresos, utilizando su infraestructura para difundir una variedad de malware en su lugar. Para 2012, la red de mando y control de Avalanche estaba empujando una variedad de software criminalware, incluyendo "ransomware policial". Ese malware falsificó un mensaje de la policía que afirmaba que el sistema de la víctima había estado distribuyendo pornografía ilegal, deshabilitando el equipo infectado hasta que la víctima pagó una "multa" para desbloquearla. Según Symantec, el mismo bloque de servidores de mando y control también fue utilizado por un troyano bancario llamado Bebloh que apuntaba a hablantes alemanes. Esta familia de malware fue investigada en ese momento por la policía en Luneburg, Alemania, y como la investigación se expandió, cada vez más familias de malware fueron descubiertas vinculadas a la misma infraestructura de mando y control.
¿Cómo operaba este grupo?
El grupo 'Avalanche' operaba una red de técnicas de ocultación "fast-flux". Este término se podría definir como una técnica DNS utilizada por botnets para ocultar todas esas páginas mediante las que entregan malware y phishing. Las ocultaban detrás de una red de ordenadores particulares comprometidos en constante cambio que actuaban como proxys.Los operadores de los botnets utilizaban esta red para ocultar las infraestructuras de mando y control con las que operaban las botnets. Esto quiere decir que si una empresa de seguridad trataba de mapear sus ataques para repelerlos, el hecho de que estos controles estuviesen ocultos en diferentes capas de proxys haría que fuesen casi imposible de detectar.
Bajo la capa de protección de 'Avalanche' han estado trabajando varios tipos de malware, como ladrones de credenciales, ransomware y troyanos bancarios. También lo han hecho varias familias de botnets, como TeslaCrypt, Nymaim, CoreBot, GetTiny, Matsnu, Rovnix, URLZone o QakBot (aka Qbot, PinkSlip Bot).
Familias de Malware
- Bolek
- Citadel
- CoreBot
- Gozi2
- Goznym
- KINS / VMZeus
- Marcher
- Matsnu
- Nymaim
- Pandabanker
- Ranbyus
- Rovnix
- Smart App
- Smoke Loader / Dofoil
- TeslaCrypt
- Tiny Banker / Tinba
- Fake Trusteer App
- UrlZone
- Vawtrak
- Xswkit
Fuentes:
http://blog.shadowserver.org/2016/12/01/avalanche/
http://arstechnica.com/security/2016/12/legal-raids-in-five-countries-seize-botnet-servers-sinkhole-800000-domains/
http://www.genbeta.com/seguridad/una-macro-redada-internacional-acaba-con-avalanche-una-red-mundial-de-ocultacion-de-ciberataques
Enviar por correo electrónico
Escribe un blog
Compartir en X
Compartir con Facebook
Compartir en Pinterest
0 comentarios :
Publicar un comentario
Los comentarios pueden ser revisados en cualquier momento por los moderadores.
Serán publicados aquellos que cumplan las siguientes condiciones:
- Comentario acorde al contenido del post.
- Prohibido mensajes de tipo SPAM.
- Evite incluir links innecesarios en su comentario.
- Contenidos ofensivos, amenazas e insultos no serán permitidos.
Debe saber que los comentarios de los lectores no reflejan necesariamente la opinión del STAFF.