Лавина (фишинговая группа)

Avalanche была преступным синдикатом, занимавшимся фишинговыми атаками, мошенничеством в интернет-банкеи вымогательством. Это название также относится к сети принадлежащих, арендованных и скомпрометированных систем, используемых для осуществления этой деятельности. Лавина заражала только компьютеры, работающие под управлением операционной системы Microsoft Windows.

В ноябре 2016 года ботнет "лавина" был уничтожен после четырехлетнего проекта международного консорциума правоохранительных, коммерческих, академических и частных организаций.

История[править]

Лавина была обнаружена в декабре 2008 года и, возможно, стала заменой фишинговой группе, известной как Rock Phish, которая прекратила свою деятельность в 2008 году. она была запущена из Восточной Европы и получила свое название от исследователей безопасности из-за большого объема ее атак. Avalanche запустила 24% фишинговых атак в первой половине 2009 года; во второй половине 2009 года рабочая группа по борьбе с фишингом (APWG) зарегистрировала 84 250 атак лавиной, что составляет 66% всех фишинговых атак. Общее число фишинговых атак увеличилось более чем в два раза, что APWG напрямую связывает с лавиной.]

Лавина использовала спам-почту, якобы исходящую от надежных организаций, таких как финансовые учреждения или сайты по трудоустройству. Жертвы были обмануты, вводя личную информацию на веб-сайтах, которые выглядели так, как будто они принадлежат к этим организациям. Иногда их обманом заставляли устанавливать программное обеспечение, прикрепленное к письмам или на веб-сайте. Вредоносная программа регистрировала нажатияклавиш, крала пароли и информацию о кредитных картах, а также разрешала несанкционированный удаленный доступ к зараженному компьютеру.

В отчете о тенденциях фишинга интернет-идентичности за второй квартал 2009 года говорится, что Avalanche "имеет детальные знания о коммерческих банковских платформах, в частности системах управления казначейством и автоматизированной системе клиринговых центров (ACH). Они также успешно проводят атаки типа "Человек посередине" в реальном времени, которые побеждают двухфакторные токены безопасности".]

Avalanche имела много общего с предыдущей группой Rock Phish - первой фишинговой группой, которая использовала автоматизированные методы, - но с большим масштабом и объемом. Avalanche размещала свои домены на скомпрометированных компьютерах (ботнет). Не было единого хостинг-провайдера, что затрудняло демонтаж домена и требовало привлечения ответственного регистратора домена.

Кроме того , Avalanche использовала fast-flux DNS, заставляя скомпрометированные машины постоянно меняться. Лавинные атаки также распространяют троянского коня Zeus, что позволяет продолжать преступную деятельность. Большинство доменов, которые использовал Avalanche, принадлежали национальным регистраторам доменных имен в Европе и Азии. Это отличается от других фишинговых атак, где большинство доменов используют американские регистраторы. Похоже, что Avalanche выбрала регистраторов на основе своих процедур безопасности, неоднократно возвращаясь к регистраторам, которые не обнаруживают домены, используемые для мошенничества, или которые медленно приостанавливали ненадлежащие Домены.

Лавина часто регистрировала домены с несколькими регистраторами, одновременно проверяя других, чтобы проверить, были ли обнаружены и заблокированы их отличительные Домены. Они были нацелены на небольшое число финансовых учреждений одновременно,но регулярно меняли их. Домен, который не был приостановлен регистратором, был повторно использован в последующих атаках. Группа создала фишинговый "комплект", который был заранее подготовлен для использования против многих учреждений-жертв.

Avalanche привлекла значительное внимание со стороны организаций безопасности; в результате время безотказной работы доменных имен, которые она использовала, было вдвое меньше, чем у других фишинговых доменов.

В октябре 2009 года ICANN, организация, которая управляет присвоением доменных имен, выпустила информационную записку, призывающую регистраторов быть активными в борьбе с лавинообразными атаками. Британский реестр Nominet изменил свои процедуры, чтобы облегчить приостановку доменов из-за атак Avalanche. Interdomain, испанский регистратор, начал требовать код подтверждения, доставленный по мобильному телефону в апреле 2009 года, который успешно вынудил Avalanche прекратить регистрацию мошеннических доменов с ними.

В 2010 году APWG сообщила, что Avalanche была ответственна за две трети всех фишинговых атак во второй половине 2009 года, описав ее как "одну из самых сложных и разрушительных в интернете" и "самую плодовитую в мире фишинговую банду".

Демонтаж[править]

В ноябре 2009 года охранным компаниям удалось на короткое время закрыть ботнет "лавина", после чего "лавина" сократила масштабы своей деятельности и изменила свой режим работы. К апрелю 2010 года число нападений Лавин сократилось всего до 59 с максимума более чем в 26 000 в октябре 2009 года, но это снижение было временным.

На 30 ноября 2016 г., лавина ботнет был уничтожен в конце четырехлетнего проекта по линии Интерпола, Европола, в Shadowserver Фонда, Евроюст, в Люнеберга (Германия) полиция, Федеральное ведомство по информационной безопасности (BSI) Германии, Фраунгофера FKIE, ряд антивирусных компаний, организованный компанией Symantec, корпорация ICANN, сертификата, в ФБР, и некоторые из реестров доменов, которые использовались Группой.

Symantec реверсировала клиентскую вредоносную программу, и консорциум проанализировал 130 ТБ данных, собранных за эти годы. Это позволило ему победить быстротекущую распределенную DNS-запутанность, сопоставить командно-управляющую структуруботнета и идентифицировать его многочисленные физические серверы.

37 помещений были обысканы, 39 серверов были изъяты, 221 арендованный сервер был удален из сети, когда их невольные владельцы были уведомлены, 500 000 зомби-компьютеров были освобождены от дистанционного управления, 17 семей вредоносных программ были лишены c/c, а пять человек, управлявших ботнетом, были арестованы.

Правоохранительный сервер sinkhole, описанный в 2016 году как" самый большой в истории", с обслуживаемыми 800 000 доменами, собирает IP-адреса зараженных компьютеров, которые запрашивают инструкции от ботнета, чтобы интернет-провайдеры, владеющие ими, могли информировать пользователей о том, что их машины заражены, и предоставлять программное обеспечение для удаления.

Вредоносное ПО, лишенное инфраструктуры[править]

Следующие семейства вредоносных программ были размещены на Avalanche:

• Windows-Троянский конь шифрования (WVT) (a.k. A. Matsnu, инжектор, Rannoh, Ransomlock. P)
• URLzone (a. k. a. Bebloh)
• Цитадель
• VM-ZeuS (a. k. a. KINS)
• Бугат (он же Феодо, Геодо, Кридекс, Дридекс, Эмотет)
• Ньюгоз (он же GameOverZeuS)
• Тинба (он же Тинибанкер)
• Нымаим/Гозным
• Vawtrak (a.k. A. Neverquest)
• Marcher
• Пандабанкер
• Ранбюс
• Умное Приложение
• TeslaCrypt
• Приложение Trusteer
• Xswkit

Лавинная сеть также обеспечила связь c/c для этих других ботнетов:

• TeslaCrypt
• Nymaim
• Corebot
• GetTiny
• Мацну
• Ровникс
• Urlzone
• QakBot (a.k.a. Qbot, PinkSlip Bot)

См.также[править]

Пруф[править]

.fbi.gov/news/stories/joint-cyber-operation-takes-down-avalanche-criminal-network

• youtu.be/z6okdbRjZ6A