Tras el cierre de Avalanche, ¿terminó su actividad maliciosa?

Tras el cierre de Avalanche, ¿terminó su actividad maliciosa?

Un operativo internacional logró el cierre de Avalanche, red que escondía la actividad de botmasters. ¿Significa que ninguna amenaza se vale ya de ella?

Un operativo internacional logró el cierre de Avalanche, red que escondía la actividad de botmasters. ¿Significa que ninguna amenaza se vale ya de ella?

La semana pasada te contamos que el accionar conjunto de diferentes autoridades culminó con el desmantelamiento de la red cibercriminal Avalanche, que durante años permitió a botmasters esconder sus actividades detrás de una red siempre cambiante de hosts comprometidos. Pero ¿significa esto que culminó toda la actividad maliciosa y que ninguna amenaza se vale ya de esta red? Es difícil afirmarlo.

Se estima que las campañas de malware y lavado de dinero ejecutadas a través de Avalanche se cobraron víctimas en 180 países y causaron daños por cientos de millones de dólares. Europol calcula que, solo en Alemania, hubo daños por 6 millones de euros a raíz de ataques a sistemas de banca en línea.

Sin embargo, la operación, de la que participaron la Policía de Luneburgo (Alemania), la Fiscalía de Verden (Alemania), Europol, Eurojust, el FBI, el Departamento de Justicia y la Oficina del Fiscal de los Estados Unidos, no parece ser el fin de la actividad cibercriminal de Avalanche, según un informe de SC Magazine.

Sí se sabe que el desmantelamiento bloqueó 800.000 dominios maliciosos y dejó offline a 221 servidores; además, otros 39 servidores fueron incautados. “La operación marca el mayor uso de sinkholing para combatir infraestructuras de botnet y es sin precedentes en su escala”, sostiene el comunicado de Europol.

Por lo tanto, las capacidades de Avalanche quedaron significativamente reducidas, pero aún falta seguir monitoreando para ver hasta qué punto se redujo la propagación de las 20 familias de malware que supuestamente estaban usando su servicio.

Algunas de las más notorias, como señalábamos en nuestro artículo de la semana pasada, son:

  • TeslaCrypt
  • Nymaim
  • CoreBot
  • GetTiny
  • Matsnu
  • Rovnix
  • URLZone
  • QakBot (también conocida como Qbot, PinkSlip Bot)

Se trata, en su mayoría, de ransomware, troyanos bancarios y familias de malware que roban credenciales.

Como resultado del operativo hubo cinco individuos detenidos y uno de ellos es uno de los principales operadores de la red. “Hemos detenido a la parte superior, la cabeza de la serpiente”, dijo a Associated Press Fernando Ruiz, jefe de operaciones del Centro de Cibercrimen de Europol.

“Estamos seguros de que esto va a tener un enorme impacto”, añadió, y tiene sentido si pensamos que este operativo requirió años de investigación para comprender el funcionamiento de la red y luego meses de preparación para que se pudiera concretar con éxito.

Ruiz definió a Avalanche como “el ejemplo perfecto de crimen como servicio“, ya que cibercriminales alrededor del mundo la alquilaban para enviar spam y software malicioso.

Como decíamos la semana pasada, recomendamos usar ESET Online Scanner para comprobar si eres parte de una botnet sin saberlo. Esta herramienta gratuita es capaz de detectar y limpiar familias de malware que hayan sido distribuidas por la red fast-flux o la hayan usado.

Créditos imagen: ©will_cyclist/Flickr

Discusión