Passer au contenu

Démantèlement d’Avalanche, un énorme botnet pilotant une vingtaine de malwares

Cette infrastructure comptait des millions de machines zombies dans le monde. Les forces de l’ordre d’une trentaine de pays, dont la France, ont participé à cette opération.

Selon Europol, c’est la plus grande opération de démantèlement de botnet jamais réalisée. Hier, l’agence de police européenne a mis fin au réseau Avalanche, un énorme botnet qui a infecté des millions d’ordinateurs dans 180 pays, dont la France. Les machines infectées étaient principalement des PC Windows et des smartphones Android.

L’opération a été menée en collaboration avec les forces de l’ordre de plus de trente de pays. Ce qui a permis d’arrêter 5 personnes et de déconnecter 250 serveurs dont 39 ont pu être saisis physiquement. Afin de libérer les machines zombies de l’emprise des pirates, les forces de l’ordre ont redirigé 800.000 noms de domaine vers leurs propres serveurs (« DNS sinkholing »), ce qui permettra d’identifier les victimes et de les avertir par le biais de leur fournisseur d’accès.

Avalanche était un botnet multifonctionnel atteignant chaque jour plus de 500.000 machines zombies actives. Créé en 2009, il était utilisé pour piloter près d’une vingtaine de malwares différents dont des ransomwares (Teslacrypt) et des chevaux de Troie bancaires (Pandabanker, Tiny Banker). Ces derniers permettaient notamment de créer des virements frauduleux. Ces sommes étaient ensuite blanchies par l’achat de produits, au travers d’un réseau de mules  « hautement organisé ».

Un système ingénieux pour brouiller les pistes

L’une des particularités techniques d’Avalanche était son infrastructure de camouflage. Les serveurs de commande et contrôle (C&C) étaient non seulement protégés par un labyrinthe de serveurs proxies, mais aussi par un système d’adressage DNS à « double flux rapide », où les milliers de serveurs de noms et d’adresses IP auxquels devaient accéder les machines zombies étaient modifiés toutes les cinq minutes. Ce qui permettait de brouiller les pistes, en tous les cas jusqu’à maintenant.

Si le botnet Avalanche est désormais hors d’état de nuire, des millions de victimes sont toujours infectés. Pour se débarrasser des malwares, les forces de l’ordre préconisent l’utilisation d’un antivirus tel que Kaspersky, Eset ou G-Data.     

Source: Europol

🔴 Pour ne manquer aucune actualité de 01net, suivez-nous sur Google Actualités et WhatsApp.


Gilbert KALLENBORN