A botnet usava 500 mil computadores infectados para lançar ataques de phishing por email.
Agências policiais desmantelaram uma importante rede de cibercriminosos, denominada Avalanche, responsável por ataques com malware, em actividade por todo o mundo há anos. A rede geria diariamente até 500 mil computadores infectados, entregando software nocivo através de ataques de phishing.
Tem estado activo desde pelo menos 2009, mas na quinta-feira, as autoridades dos EUA e na Europa anunciaram a detenção de cinco suspeitos supostamente envolvidos com ele. A Avalanche estava a distribuir mais 20 famílias de malware, incluindo o GozNym, um Trojan bancário projectado para roubar as credenciais do utilizador, e o Teslacrypt, um ransomware.
A Europol estimou que a rede causou centenas de milhões de dólares em danos em todo o mundo. Para encerrar a rede cibercriminosa, as agências embarcaram numa investigação que durou mais de quatro anos e envolveu agentes e procuradores em mais de 40 países.
A entidade europeia afirmou que foram apreendidos 39 servidores que suportavam a Avalanche foram e outros 221 foram forçados a desligar-se com notificações enviadas aos seus fornecedores de alojamento. Os investigadores usaram um método conhecido como “sinkholing” para infiltrar a infra-estrutura dos cibercriminosos e interromper as suas actividades.
“A operação marca a maior utilização realizada da técnica de ‘sinkholing’ para combater infra-estruturas de botnet”, diz a Europol.
Isso envolveu desviar dos computadores o tráfego de Internet infectado da Avalanche, para servidores controlados pelas autoridades. “A operação marca a maior utilização realizada da técnica de ‘sinkholing’ para combater infra-estruturas de botnet”, diz a Europol.
A Avalanche enviava mais de um milhão de e-mails com anexos nocivos ou links por semana. O malware conseguiu infectar utilizadores em mais de 180 países.
Para evitar ser desligada, a estrutura montada recorria a uma técnica chamada “double fast flux” [fluxo de dupla rapidez, numa tradução literal], com a qual alterava automaticamente os registos de endereços IP, juntamente com os nomes de domínio usados.