Una red de bots que ha servido de ataques de phishing y al menos 17 tipos de malware diferentes durante gran parte de esta década ha sido reducida en un esfuerzo coordinado por un grupo internacional de agencias policiales y empresas de seguridad. Los agentes de la ley se apoderaron de los servidores de mando y tomaron el control de más de 800.000 dominios de Internet utilizados por la botnet, denominada "Avalanche", que ha estado funcionando desde al menos a finales de 2009.



Europol ha asegurado que durante la operación se han realizado registros en 37 locales y se han incautado 39 servidores. Se estima que la red tenía el control de 500.000 ordenadores infectados con víctimas en alrededor de 180 países.

Avalanche es una plataforma de administración y entrega de contenido Double Fast Flux (Wikipedia) diseñada para la entrega y la llamada gestión a prueba de balas de botnets. Más de 20 familias de malware diferentes que utilizan algoritmos de Generación de Dominio (DGA) y la infraestructura criminal operativa en 30 países y estados de EE. UU. Afectaron a más de 60 registros en todo el mundo requiriendo niveles sin precedentes de asociación internacional efectiva.

Los países participantes en la operación policial internacional son: Estados Unidos, Armenia, Australia, Austria, Azerbaiyán, Bélgica, Belice, Bulgaria, Canadá, Colombia, Finlandia, Francia, Alemania, España (Gibraltar), Hungría, India, Italia, Lituania, Luxemburgo, Moldavia, Montenegro, Holanda, Noruega, polonia, rumania, Singapur, Suecia, Taiwán, Ucrania, y el Reino Unido.

Esta operación ha constituido un gigantesco esfuerzo que implica una compleja coordinación internacional, y la retirada final de operaciones de la sede de Europol / EC3 durante los últimos tres días. La operación de desmontaje fue anunciada públicamente a las 15:00 UTC del 1 de diciembre de 2016.

En un momento, la red Avalanche fue responsable de dos tercios de todos los ataques de phishing.

Un comunicado de Europol sobre la operación proporcionó más detalles, indicando: [Cinco] personas fueron arrestadas, se registraron 37 locales y se incautaron 39 servidores. Las víctimas de las infecciones por malware fueron identificadas en más de 180 países. Además, 221 servidores se pusieron fuera de línea a través de notificaciones de abuso enviadas a los proveedores de alojamiento. La operación marca el uso más grande de sinkholing para combatir infraestructuras de botnet y es sin precedentes en su escala, con más de 800 000 dominios incautados, hundeados o bloqueados.

Los dominios incautados han sido "arruinados" para terminar la operación de la botnet, que se calcula que se ha extendido a cientos de miles de computadoras comprometidas en todo el mundo. La oficina del Departamento de Justicia del Distrito Federal Occidental de Pensilvania y la oficina del FBI en Pittsburgh lideraron la porción estadounidense de la destrucción. "Las pérdidas monetarias asociadas con los ataques de malware realizados en la red Avalanche se calculan en cientos de millones de dólares en todo el mundo, aunque los cálculos exactos son difíciles debido al alto número de familias de malware presentes en la red", dijo el FBI y el DOJ En su declaración conjunta.

En 2010, un informe del Grupo de Trabajo Anti-Phishing llamó a Avalanche como "la pandilla de phishing más prolífica del mundo", señalando que la botnet Avalanche fue responsable de dos tercios de todos los ataques de phishing registrados en el segundo semestre de 2009 (84.250 de 126.697 ). "Durante ese tiempo, se dirigió a más de 40 grandes instituciones financieras, servicios en línea y proveedores de búsqueda de empleo", informó APWG. En diciembre de 2009, la red utilizó 959 dominios distintos para sus campañas de phishing. Avalanche también propagó activamente la botnet de fraude financiero de Zeus en ese momento.

Algunos datos de la operación:

• Jurisdicciones: 30
• Arrestos: 5
• Locales en busqueda: 37
• Servidores incautados: 39
• Servidores desconectados en informes de abuso: 221
• Países con IP de víctimas: Más de 180
• Dominios bloqueados o delegados a los sumideros de Shadowserver: Más de 800.000 en más de 60 dominios de nivel superior (TLD)

 La Fundación Shadowserver, una organización sin fines de lucro de profesionales de la seguridad que ayudó en lo que la organización describió en un puesto en la retirada como una colaboración de 18 meses con la aplicación de la ley, describió Avalanche como una red de bots "Double Fast Flux". Los nodos individuales dentro de la botnet se registran y luego se desregistran rápidamente como el host asociado con un servicio de nombres de dominio. Un registro de direcciones para un único nombre DNS. Las direcciones de destino para un registro DNS cambian con frecuencia tan rápido como una vez cada 5 minutos. A través de cientos o miles de direcciones IP. Y hay varios nombres de dominio para los nodos de comando y control codificados en el malware botnet, permitiendo a los robots cambiar a un nombre de dominio diferente si un dominio específico está bloqueado. "Más de 20 familias de malware diferentes que utilizan múltiples algoritmos de generación de dominios (DGA) y la infraestructura penal operativa en 30 países y estados de Estados Unidos afectaron a más de 60 registros en todo el mundo requerían niveles sin precedentes de asociación internacional efectiva", informó un portavoz de Shadowserver Foundation.

Las operaciones de phishing de Avalanche parecen caer en 2010, probablemente debido a que la organización detrás de la botnet se dirigió a otras fuentes de ingresos, utilizando su infraestructura para difundir una variedad de malware en su lugar. Para 2012, la red de mando y control de Avalanche estaba empujando una variedad de software criminalware, incluyendo "ransomware policial". Ese malware falsificó un mensaje de la policía que afirmaba que el sistema de la víctima había estado distribuyendo pornografía ilegal, deshabilitando el equipo infectado hasta que la víctima pagó una "multa" para desbloquearla. Según Symantec, el mismo bloque de servidores de mando y control también fue utilizado por un troyano bancario llamado Bebloh que apuntaba a hablantes alemanes. Esta familia de malware fue investigada en ese momento por la policía en Luneburg, Alemania, y como la investigación se expandió, cada vez más familias de malware fueron descubiertas vinculadas a la misma infraestructura de mando y control.

¿Cómo operaba este grupo?

El grupo 'Avalanche' operaba una red de técnicas de ocultación "fast-flux". Este término se podría definir como una técnica DNS utilizada por botnets para ocultar todas esas páginas mediante las que entregan malware y phishing. Las ocultaban detrás de una red de ordenadores particulares comprometidos en constante cambio que actuaban como proxys.

Los operadores de los botnets utilizaban esta red para ocultar las infraestructuras de mando y control con las que operaban las botnets. Esto quiere decir que si una empresa de seguridad trataba de mapear sus ataques para repelerlos, el hecho de que estos controles estuviesen ocultos en diferentes capas de proxys haría que fuesen casi imposible de detectar.

Bajo la capa de protección de 'Avalanche' han estado trabajando varios tipos de malware, como ladrones de credenciales, ransomware y troyanos bancarios. También lo han hecho varias familias de botnets, como TeslaCrypt, Nymaim, CoreBot, GetTiny, Matsnu, Rovnix, URLZone o QakBot (aka Qbot, PinkSlip Bot).

 Familias de Malware

• Bolek
• Citadel
• CoreBot
• Gozi2
• Goznym
• KINS / VMZeus
• Marcher
• Matsnu
• Nymaim
• Pandabanker
• Ranbyus
• Rovnix
• Smart App
• Smoke Loader / Dofoil
• TeslaCrypt
• Tiny Banker / Tinba
• Fake Trusteer App
• UrlZone
• Vawtrak
• Xswkit

Fuentes:
http://blog.shadowserver.org/2016/12/01/avalanche/
http://arstechnica.com/security/2016/12/legal-raids-in-five-countries-seize-botnet-servers-sinkhole-800000-domains/
http://www.genbeta.com/seguridad/una-macro-redada-internacional-acaba-con-avalanche-una-red-mundial-de-ocultacion-de-ciberataques