Assiste.com
cr 01.04.2012 r+ 22.10.2024 r- 22.10.2024 Pierre Pinard. (Alertes et avis de sécurité au jour le jour)
Sommaire (montrer / masquer) |
---|
Rappel :
Les réseaux criminels de « calcul distribué » s'appellent des « botnets » (réseaux de « bots » (« robots »)) et chaque appareil (ordinateur) dans le réseau est appelé « zombies ». Les « zombies » sont des ordinateurs individuels utilisés frauduleusement, squattés à l'insu de leurs propriétaires. Un « botnet » peut être constitué de plus d'un million d'ordinateurs zombifiés.
Voir les articles :
« Avalanche » était un « BotNet » piloté par un groupe de cybercriminels. Il a été nommé ainsi par les équipes qui le traquaient à cause des énormes volumes d'attaques qu'il conduisait.
« Avalanche » était utilisé dans le déploiement d'attaques en phishing, fraudes bancaires en ligne et implantation de ransomwares. Il infestait uniquement les ordinateurs sous le système d'exploitation Microsoft Windows.
En novembre 2016, le « BotNet Avalanche » a été démantelé après un travail de quatre ans mené par un consortium international d'organismes répressifs, commerciaux, universitaires et privés.
L'histoire du « BotNet Avalanche »
« Avalanche » a été découvert en décembre 2008. Son émergence coïncidant avec la cessation d'activité d'un autre BotNet de phishing appelé « Rock Phish », il a été supposé qu'il pourrait s'agir de son remplacement par le même groupe de cybercriminels.
« Avalanche » a été la cause de 24% des attaques en phishing au cours du premier semestre de 2009. Au cours du second semestre de 2009, le groupe de travail anti-hameçonnage (APWG) a enregistré 84 250 attaques d'Avalanche, soit 66% de toutes les attaques en phishing du monde. Le nombre total d'attaques par hameçonnage a plus que doublé, une augmentation que l'APWG attribue directement à Avalanche (mais, à la même époque [2009], le BotNet Zeus, dans le même domaine, était au sommet de son art).
« Avalanche » a utilisé des spam prétendant provenir d'organismes de confiance, telles que des institutions financières. Les méthodes utilisées sont « classiques » :
Les victimes ont été trompées par ingénierie sociale et conduites à donner elles-mêmes leurs informations personnelles sur des formulaires imitant parfaitement ceux des institutions financières (ce qui est très facile à faire dans le monde numérique).
Les victimes ont ouvert des e-mails piégés ou des pièces jointes à des e-mails piégés. Des scripts malveillants ont alors installé des enregistreurs de frappes au clavier (keyloggers) leur permettant de voler mots de passe, identifiants et informations de cartes bancaires.
Le rapport sur les tendances de l'hameçonnage d'identifiants sur l'Internet, pour le deuxième trimestre de 2009, indique que les opérateurs d'Avalanche « possèdent une connaissance approfondie des plates-formes bancaires commerciales, en particulier des systèmes de gestion de trésorerie et du système de centre d'échange automatisé (ACH) ». Les attaques arrivent à détruire les jetons de sécurité à deux facteurs.
« Avalanche » présentait de nombreuses similitudes avec le groupe précédent « Rock Phish » - le premier groupe de phishing utilisant des techniques automatisées - mais avec une taille et un volume supérieurs. « Avalanche » a hébergé ses domaines de phishing (les domaines imitant les institutions financières, etc., qui ne servent que quelques heures) sur tout un réseau de serveurs. Il n'y avait pas de fournisseur d'hébergement (registraires) unique, mais une foule de registraires dans divers pays, ce qui rendait difficile la suppression des domaines de phishing et nécessitait, chaque fois, la participation des registraires des domaines responsables.
En outre, « Avalanche » a utilisé un DNS à flux rapide, provoquant un changement constant des machines hébergeant les domaines de phishing.
Les attaques d' « Avalanche » ont également propagé le cheval de Troie nommé Zeus (élaboration du BotNet ZeuS qui servi de voleur d'informations bancaires par récupération de formulaire, keyloggers et attaques en man-in-the-browser). Le virus se transmet par simple visite sur un site infecté via un « exploit », favorisant ainsi les activités criminelles.
La majorité des domaines utilisés par « Avalanche » appartenaient à des registraires nationaux de noms de domaine en Europe et en Asie. Cela diffère des autres attaques de phishing où la majorité des domaines utilisent des registraires américains. Il semble qu'Avalanche ait choisi les registraires en fonction de leurs procédures de sécurité, renvoyant à plusieurs reprises à des registraires qui ne détectent pas les domaines utilisés à des fins frauduleuses ou qui tardaient à suspendre les domaines abusifs.
« Avalanche » a souvent enregistré des domaines avec plusieurs registraires, tout en testant les autres pour vérifier si leurs domaines distincts étaient détectés et bloqués. Ils ont ciblé un petit nombre d'institutions financières à la fois, mais ils se sont relayés régulièrement. Un domaine qui n'a pas été suspendu par un registraire a été réutilisé lors d'attaques ultérieures. Le groupe a créé un « kit » de phishing, pré-paramétré pour être utilisé contre de nombreuses institutions victimes.
En octobre 2009, l'ICANN, l'organisation qui gère l'attribution de noms de domaine, a publié une note de sensibilisation à la situation, encourageant les bureaux d'enregistrement (registraires) à faire preuve de réactivité dans le traitement des attaques par « Avalanche ».
En 2010, l'APWG a signalé qu' « Avalanche » avait été responsable des deux tiers de toutes les attaques en phishing au deuxième semestre de 2009, le décrivant comme « l'un des plus sophistiqués et des plus dommageables sur Internet » et « le gang de phishing le plus prolifique au monde ».
|
Les encyclopédies |
---|