导语:美国司法部、欧洲刑警组织、德国警方、英国国家犯罪调查局联合其他30 个国家的检察官和调查人员一举捣毁在线恶意软件分发和管理平台——Avalanche 。

2016年12月1号,美国司法部(DOJ)、欧洲刑警组织(Europol)、德国警方、英国国家犯罪调查局(NCA)共同宣布,在与 30 个国家的检察官和调查人员经过四年多的联合调查后,他们一举捣毁在线恶意软件分发和管理平台——Avalanche 。此次行动共逮捕了5名疑犯,关停了39台服务器,37个犯罪活动场所被搜查,83万个域名被查封并联系180 多个国家的运行商远程强制关闭了221个服务器。

Avalanche简介

Avalanche 网络是一个用于启动和管理大规模全球恶意软件攻击和洗钱活动的交付平台。该平台托管恶意软件家族高达20余种,囊括了僵尸网络、银行木马和勒索软件。Avalanche自2009年起就被用于恶意软件、网络钓鱼和垃圾邮件活动,可在一周内发送超100万封恶意邮件,平台最多时,曾掌控全球的600台服务器,代管80万个域名。

Avalanche的用户利用租来的服务器进行网络诈骗,他们向全球的受害者传送內含恶意程序或勒索软件的大量电子邮件,进行金钱勒索或窃取用户的隐私信息,最高峰时Avalanche平台同时代理过17种不同模型的恶意程序。通过Avalanche分发和管理的恶意软件家族包括了著名僵尸网络和银行木马,比如Bolek、Citadel、Goznym、Nymaim、Marcher、Dridex、Matsnu、URLZone、XSWKit、CoreBot、KBot、Vawtrack、Dofoil( Smoke Loader )、Gozi2、Slempo、VMZeus和 Panda Banker之类僵尸网络,以及Cerber和TeslaCrypt这种勒索软件家族。

通过Avalanche犯罪很简单,网络罪犯只要付费就能享用Avalanche上的各种犯罪服务,包括恶意软件和勒索软件分发、钱骡、网络钓鱼活动。一种被称为的“双快变( double fast-flux,使用Fast Flux,攻击者可以将多个IP地址的集合链接到某个特定的域名,并将新的地址从DNS记录中换入换出,回避检测)的技术被用来保护该平台免遭发现和中断。

在此次行动过程中,为了切断受感染计算机与发送恶意命令的服务器之间的通信通道,工作人员使用了一个被称为“sinkholing”的复杂技术。

据不完全统计,目前受害者来自全球180个国家,超过50万台的个人电脑被Avalanche平台掌控,截至目前该平台的不法收入已超过数亿美元。仅在德国,对网上银行系统的攻击已造成了大约600万欧元的损失。

30多个国家共同参与此次抓捕行动

欧洲刑警组织还没透露5名疑犯被抓捕的地点,但透露了参与行动的30个国家:亚美尼亚、澳大利亚、奥地利、阿塞拜疆、比利时、伯利兹、保加利亚、加拿大、哥伦比亚、芬兰、法国、德国、直布罗陀、匈牙利、印度、意大利、立陶宛、卢森堡、摩尔多瓦、黑山共和国、荷兰、挪威、波兰、罗马尼亚、新加坡、瑞典、中国台湾、乌克兰、英国和美国。

安全软件公司Bitdefender高级电子威胁分析师博格丹·博泰扎图称:

全球网络犯罪市场每年都要向受害者攫取数十亿美元。尽管因Avalanche的网络业务波及面太广而几乎无法确定准确的资金,但可以肯定该平台一家就占了其中的上亿美元。

虽然Avalanche已经被关闭了,但这不意味着,网络清除行动就胜利了,就像有人说的那样:“虽然此次行动会清除了很多网络罪犯,Avalanche留下来的空白很快就会有另一波罪犯来顶替,也许是几个小时、几天或几周,反正他们很可能很快就会出现,然后开始感染新的受害者。”

虽然此次行动不会让整个网络世界变得一尘不染,但却释放了一个积极信号,从此以后,不同国家的执法机构和网络服务商可以互相合作,对网络犯罪进行全面的打击。

Malwarebytes的主要恶意软件智能分析师JérômeSegura就表示 “要对这些恶意软件进行调查,是非常困难和复杂的,但此次的联合清除行动却给我们带来一个积极地信号,这意味今后在面对这些问题时,我们可以做出更快速地处理。”

不仅如此,此次行动也说明了联合执法是多么的高效。 欧洲刑警组织主任Rob Wainwright就说:“Avalanche行动是一个非常重要的行动,它涉及国际执法,各个国家的检察官和行业组织,这说明应对网络犯罪是具有全球性的,另外在此次的复杂的网络调查中,具有跨国性质的公共和私人组织之间的国际合作也达到了前所未有的水平。”

虽然像Avalanche这样的犯罪平台不会完全消失,但如果我们善于利用更好的反恶意软件再加上国际合作的联合执法,我相信我们的网络会比现在安全的多。

源链接

Hacking more

...