Οι αρχές επιβολής του νόμου και οι εταιρείες του διαδικτύου από όλο τον κόσμο συνεργάστηκαν για να κλείσουν το Avalanche, ένα από τα μεγαλύτερα malware δίκτυα στον κυβερνοχώρο που έχουν ποτέ ανακαλυφθεί κατά την τελευταία δεκαετία.
Οι προσπάθειές τους είχαν ως αποτέλεσμα τη σύλληψη πέντε υπόπτων, την κατάσχεση 37 servers και το κλείσιμο άλλων 221 servers.
Σύμφωνα με τις δηλώσεις της Europol και του Υπουργείου Δικαιοσύνης των ΗΠΑ , οι ύποπτοι χρησιμοποιούσαν αυτήν την υποδομή σαν ένα παγκόσμιο εγκληματικό δίκτυο που ήταν υπεύθυνο για τη διάδοση και τη φιλοξενία πάνω από 20 διαφορετικές οικογένειες malware, που κυμαίνονται από ransomware έως και τραπεζικά trojans.
Το δίκτυο αυτό, στο οποίο αρχές είχαν δώσει το παρατσούκλι “Avalanche“(Χιονοστιβάδα), το παρείχανε οι ιδιοκτήτες του προς ενοικίαση για την αποστολή spam, υποδοχής και εξάπλωσης του κακόβουλου λογισμικού τους, υποδοχής εντολών και ελέγχου (C&C) servers, αλλά και για να ξεπλένει τα κέρδη και τα κλεμμένα κεφάλαια.
Στην συνολική προσπάθεια συνέβαλαν ερευνητές από περισσότερες από 30 χώρες, αρχές επιβολής του νόμου από διάφορες χώρες συμπεριλαμβανομένων των Europol, Eurojust, Interpol, FBI, το Υπουργείο Δικαιοσύνης των ΗΠΑ, οργανισμοί και εταιρείες του διαδικτύου όπως η ICANN, Symantec, το Ίδρυμα Shadowserver, το Registrar of Last Resort, και άλλοι.
Οι αρχές ανέφεραν ότι κατασχέθηκαν, ή μπλοκαρίστηκαν πάνω από 800.000 domains που χρησιμοποιούνταν για διάφορα malware botnets. Ο μεγάλος αριθμός των domains ήταν επειδή τα περισσότερα από τα botnets χρησιμοποιούν μια τεχνική γνωστή ως διπλή γρήγορη ροή DNS (double fast flux DNS), η οποία περνά μέσα από ένα μεγάλο αριθμό domains ανά ημέρα για να κρύψει τη θέση του C&C server του botnet του.
Σύμφωνα με την US CERT , το δίκτυο Avalanche χρησιμοποιήθηκε για να φιλοξενήσει τις ακόλουθες οικογένειες malware:
Windows-encryption Trojan horse (WVT) (aka Matsnu, Injector,Rannoh,Ransomlock.P)
URLzone (aka Bebloh)
Citadel
VM-ZeuS (aka KINS)
Bugat (aka Feodo, Geodo, Cridex, Dridex, Emotet)
newGOZ (aka GameOverZeuS)
Tinba (aka TinyBanker)
Nymaim/GozNym
Vawtrak (aka Neverquest)
Marcher
Pandabanker
Ranbyus
Smart App
TeslaCrypt
Trusteer App
Xswkit
Σύμφωνα με την Symantec , η έρευνα στο δίκτυο Avalanche ξεκίνησε στις αρχές του 2012 όταν οι κακοποιοί δημιούργησαν και εξάπλωσαν ένα ransomware που χρησιμοποιούσε μία ψεύτικη προειδοποίηση της αστυνομίας ώστε οι μπορέσουν να κλειδώσουν τα αρχεία των θυμάτων τους και κατόπιν να ζητήσουν λύτρα.
Το όνομα του ransomware ήταν Ransomlock.P , και εμφανίστηκε στα τέλη του 2011. Η Γερμανική αστυνομία ξεκίνησε επίσημα την έρευνα του Avalanche επειδή το ransomware χρησιμοποιούσε το όνομά της.
Οι Γερμανικές αρχές επίσης ανέφεραν ότι οι απατεώνες κατάφεραν να κλέψουν πάνω από € 6.000.000 από τις γερμανικές τράπεζες μόνο. Η Europol εκτιμάται ότι απατεώνες που χρησιμοποίησαν το δίκτυο Avalanche μπορεί να έχουν κλέψει εκατοντάδες εκατομμύρια ευρώ σε όλο τον κόσμο.
Η Europol εκτιμά επίσης ότι τα botnets του Avalanche έστελναν συνολικά ένα εκατομμύρια μηνύματα spam την εβδομάδα. Αλλά εκτός από τις τραπεζικές απάτες και τα spam, οι αρχές ανακοίνωσαν ότι το δίκτυο Avalanche χρησιμοποιήθηκε επίσης για να φιλοξενήσει κακόβουλο λογισμικό για επιθέσεις DDoS.
Οι ερευνητές πιστεύουν ότι πάνω από 500.000 χρήστες εξακολουθούν να έχουν μολυσμένους υπολογιστές με διάφορους τύπους κακόβουλου λογισμικού που διανέμήθηκε μέσω αυτού του δικτύου. Αυτοί οι χρήστες πρέπει να γνωρίζουν ότι ενώ οι υποδομές backend του κακόβουλου λογισμικού είναι εκτός λειτουργίας, το κακόβουλο λογισμικό εξακολουθεί να υπάρχει στους υπολογιστές τους, και θα πρέπει να το αφαιρέσουν.