El Departamento de Justicia de Estados Unidos dio a conocer nuevos detalles sobre la destrucción multinacional de Avalanche, una red multimillonaria de malware y de blanqueo de dinero, tras una investigación de cuatro años conducida por la policía y los fiscales alemanes. El Asistente del Fiscal General Leslie R. Caldwell, el Fiscal Interino de los EE. UU. Soo C. Song y el Subdirector Scott S. Smith de la División Cibernética del FBI hicieron el anuncio en Pittsburgh.
Fiscales e investigadores de 40 países participaron en la investigación, dirigida por la oficina del Ministerio Público en Verden, Alemania, y la policía en Lüneburg. Recibieron asistencia del Departamento de Justicia, Eurojust y Europol.
La investigación reveló una campaña de malware multinacional que comenzó en 2009, el envío de más de un millón de correos electrónicos infectados con enlaces dañinos y archivos adjuntos.
Los ladrones cibernéticos lograron utilizar la información para transferir fondos desde las cuentas de las víctimas inocentes después de robar sus contraseñas bancarias y de correo electrónico. Los fondos robados, que se estiman estar en cientos de millones de euros, a continuación, se remitieron a otros delincuentes a través de una infraestructura de flujo rápido doble.
Se utilizaron más de 20 familias de malware, como goznym, manifestante, matsnu, urizone, xswkit y pandabaker. Redes altamente organizadas de «mulas» compran bienes con fondos robados, permitiendo a los ladrones cibernéticos el blanqueo de dinero que obtienen a través del esquema.
Detenciones y Convulsiones
La operación de desmontaje marca el mayor uso del sinkholing para combatir las infraestructuras de redes de bots, y no tiene precedentes en su escala, con más de 800.000 dominios incautados, sinkholed o bloqueados.
Cinco sospechosos fueron detenidos, se realizaron búsquedas en 37 locales, y se incautaron 39 servidores, dijeron funcionarios la semana pasada. Las víctimas fueron encontradas en 180 países diferentes, y 221 servidores fueron expulsados fuera de línea a través de notificaciones de abuso enviadas a los proveedores de alojamiento.
El juez de distrito Arthur Schwab finales del mes pasado otorgó fiscales federales una orden de restricción temporal que les permitan bloquear y redireccionar los datos de los ordenadores infectados utilizados en el esquema de malware avalanche para evitar una mayor actividad maliciosa, según Margaret Philbin, portavoz de la oficina del Fiscal de Estados Unidos en Pittsburgh.
La orden permite que los datos esencialmente ilegales puedan ser atrapados y trazar sistemas controlados por el gobierno que pueden rastrear la actividad ilegal y proteger a las víctimas del régimen.
«La gente en todo el mundo, incluyendo a los residentes y empresas aquí en el oeste de Pensilvania, han sido víctimas de avalanche y el malware que se distribuye mediante su intrincada infraestructura», dijo Robert Johnson, agente especial a cargo del FBI en Pittsburgh.
Al menos tres empresas o entidades gubernamentales en Pennsylvania se vieron afectados por los ataques, basado en documentos de la corte.
De febrero a abril de este año, una empresa con sede en New Castle fue atacado con siete transferencias electrónicas no autorizadas por un total de más de US $ 243.000, basado en un ataque con GozNym malware. Las transferencias electrónicas fueron detenidas antes de que se perdiera el dinero.
En enero de 2015, una entidad del gobierno del condado de Allegheny fue víctima de un ataque de malware Nymaim y tuvo que pagar 6 bitcoins, o alrededor de $ 1.400 para obtener una herramienta de descifrado para rescatar a sus archivos.
En abril de este año, un dueño de Carnegie fue víctima de un fraude ATO usando GozNym un ataque del malware que resultó en $ 387.500 de ser trasladado de manera fraudulenta de una institución financiera con sede en Pittsburgh a una cuenta en Bulgaria.
«Esta investigación pone de manifiesto una vez más que a través de la cooperación internacional de la aplicación de la ley y la industria privada, podemos ser tan eficaz en investigación de los delincuentes en el ciberespacio», señaló Johnson.
Movimientos Clásicos
Avalanche siguió un patrón de ataque bot bastante clásico, señaló Kevin O’Brien, cofundador de GreatHorn .
«Un gran número de máquinas comprometidas se utiliza para enviar un gran número de ataques de phishing y spam», dijo a TechNewsWorld. «Estas máquinas fueron muy probablemente comprometidas de una manera más tradicional, con ayuda de malwares, servicios sin parches e individuos cuyas cuentas personales y credenciales fueron robados o perdidoss, y luego a lo largo de varios años ensamblados en una botnet más grande.»
Avalanche era parte de una tendencia más amplia de los ataques de phishing en los últimos años, dijo O’Brien, con ataques de correo electrónico dirigidos causando $ 3,1 mil millones en daños en los últimos 18 meses, sobre la base de datos del FBI.