El pasado miércoles 30 de noviembre, y después de más de cuatro años de investigación, una acción coordinada entre varias agencias y autoridades internacionales ha culminado con la macro-operación contra la infraestructura internacional 'Avalanche'. Durante años, esta red ha permitido que varios operadores de malware y botnets se beneficien de una capa de seguridad extra contra redadas y baneos de dominios.
Esta red llevaba años permitiendo el envío de más de un millón de correos de phishing con archivos o enlaces maliciosos con los que añadir a las víctimas a redes de botnets. Según la BBC, Europol ha asegurado que durante la operación se han realizado registros en 37 locales y se han incautado 39 servidores. Se estima que la red tenía el control de 500.000 ordenadores infectados con víctimas en alrededor de 180 países.
La investigación ha sido llevado a cabo por el Ministerio Público de Verden y la Policía de Lüneburg (Alemania), en estrecha colaboración con la Fiscalía de los Estados Unidos para el Distrito Oeste de Pensilvania, el Departamento de Justicia estadounidense, el FBI, Europol, Eurojust y varios otros socios de hasta 30 países.
Sólo en Alemania, la Europol estima que los daños causados por sus operaciones ascienden a seis millones de euros, una cifra que podría ascender a cientos de millones de euros en daños a nivel mundial, aunque no se ha podido calcular una cantidad exacta.
¿Cómo operaba este grupo?
El grupo 'Avalanche' operaba una red de técnicas de ocultación "fast-flux". Este término se podría definir como una técnica DNS utilizada por botnets para ocultar todas esas páginas mediante las que entregan malware y phishing. Las ocultaban detrás de una red de ordenadores particulares comprometidos en constante cambio que actuaban como proxys.
Los operadores de los botnets utilizaban esta red para ocultar las infraestructuras de mando y control con las que operaban las botnets. Esto quiere decir que si una empresa de seguridad trataba de mapear sus ataques para repelerlos, el hecho de que estos controles estuviesen ocultos en diferentes capas de proxys haría que fuesen casi imposible de detectar.
Bajo la capa de protección de 'Avalanche' han estado trabajando varios tipos de malware, como ladrones de credenciales, ransomware y troyanos bancarios. También lo han hecho varias familias de botnets, como TeslaCrypt, Nymaim, CoreBot, GetTiny, Matsnu, Rovnix, URLZone o QakBot (aka Qbot, PinkSlip Bot).
Por si andáis algo confundidos con el término, recordamos que las botnets son redes de ordenadores zombis. Equipos particulares que han sido infectados con un malware para poder ser controlados masivamente y realizar varios tipos de ataque, sobre todo los DDoS masivos.
El timing de esta macro-redada no podría haber sido mejor, ya que llega justo en el momento que los ataques mediante botnets se están haciendo cada vez más potentes, llegando a dejar sin Internet a un millón de usuarios en Alemania o incluso a todo un país, por no hablar de cuando tumbaron Dyn DNS haciendo que servicios como Twitter o Spotify quedaran inoperativos en todo el mundo.
Aún así, todos estos últimos ataques han sido realizados por la familia de botnets Mirai, que no están en la lista de 'Avalanche'. Esto quiere decir que el 2017 seguirá siendo un año movido en este tipo de ataques. Si tienes sospechas de que tu ordenador puede estar siendo utilizadn en una botnet aquí tienes una guía para salir de dudas. ESET también ha presentado una serie de herramientas de prevención específicas para ver si 'Avalanche' nos ha afectado.
Vía | BBC
En Genbeta | Qué son las botnets y por qué son un peligro creciente