Jump to content

Avalanche (фишинговая группа)

Avalanche преступный синдикат, занимавшийся фишинговыми атаками, мошенничеством с онлайн-банками и программами-вымогателями . Название также относится к сети собственных, арендованных и скомпрометированных систем, используемых для выполнения этой деятельности. Avalanche заражала только компьютеры под управлением операционной системы Microsoft Windows.

Avalanche В ноябре 2016 года ботнет был уничтожен после четырехлетнего проекта международного консорциума правоохранительных, коммерческих, академических и частных организаций.

История

[ редактировать ]

Avalanche была обнаружена в декабре 2008 года и, возможно, стала заменой фишинговой группы, известной как Rock Phish, которая прекратила свою деятельность в 2008 году. [1] Он управлялся из Восточной Европы , и исследователи безопасности дали ему такое название из-за большого количества атак. [2] [3] В первой половине 2009 года Avalanche осуществила 24% фишинговых атак; во второй половине 2009 года Антифишинговая рабочая группа (APWG) зафиксировала 84 250 атак Avalanche, что составляет 66% всех фишинговых атак. Общее количество фишинговых атак увеличилось более чем вдвое, и APWG напрямую связывает этот рост с Avalanche. [4]

Avalanche использовала спам , якобы пришедший от доверенных организаций, таких как финансовые учреждения или веб-сайты по трудоустройству. Жертв обманом заставили ввести личную информацию на веб-сайтах, которые выглядели так, будто они принадлежат этим организациям. Иногда их обманом заставляли установить программное обеспечение, прикрепленное к электронным письмам или на веб-сайте. Вредоносная программа регистрировала нажатия клавиш , похищала пароли и данные кредитных карт, а также позволяла несанкционированный удаленный доступ к зараженному компьютеру.

В отчете Internet Identity «Тенденции фишинга» за второй квартал 2009 года говорится, что Avalanche «обладает детальными знаниями о коммерческих банковских платформах, особенно о системах управления казначейством и Автоматизированной клиринговой палаты (ACH). системе -Атаки посередине , которые побеждают токены двухфакторной безопасности». [5]

Avalanche имела много общего с предыдущей группой Rock Phish — первой фишинговой группой, использовавшей автоматизированные методы, — но имела больший масштаб и объем. [6] Avalanche размещала свои домены на взломанных компьютерах ( ботнет ). Не было единого хостинг-провайдера , что затрудняло удаление домена и требовало участия ответственного регистратора домена .

Кроме того, Avalanche использовала fast-flux DNS , в результате чего скомпрометированные машины постоянно менялись. Лавинные атаки также распространяют Зевса, троянского коня что способствует дальнейшей преступной деятельности. Большинство доменов, которые использовала Avalanche, принадлежали национальным регистраторам доменных имен в Европе и Азии. Это отличается от других фишинговых атак, где большинство доменов используют регистраторов в США . Похоже, что Avalanche выбирала регистраторов на основе их процедур безопасности, неоднократно возвращаясь к регистраторам, которые не обнаруживают домены, используемые для мошенничества, или которые не спешат приостанавливать злоупотребляющие домены. [5] [7]

Avalanche часто регистрировала домены у нескольких регистраторов, одновременно проверяя других, чтобы проверить, обнаруживаются ли их отличительные домены и блокируются ли они. Одновременно они атаковали небольшое количество финансовых учреждений, но регулярно меняли их. Домен, который не был заблокирован регистратором, был повторно использован в последующих атаках. Группа создала фишинговый «набор», который был заранее подготовлен для использования против многих организаций-жертв. [5] [8]

Лавина привлекла значительное внимание органов безопасности; в результате время безотказной работы используемых им доменных имен было вдвое меньше, чем у других фишинговых доменов. [4]

В октябре 2009 года ICANN , организация, которая управляет распределением доменных имен, выпустила записку о ситуации, призывающую регистраторов проявлять инициативу в борьбе с лавинными атаками. [9] Британский реестр Nominet изменил свои процедуры, чтобы упростить приостановку действия доменов из-за атак Avalanche. [4] Испанский регистратор Interdomain в апреле 2009 года начал требовать код подтверждения, доставляемый по мобильному телефону , что успешно вынудило Avalanche прекратить регистрацию у них мошеннических доменов. [5]

В 2010 году APWG сообщила, что Avalanche несет ответственность за две трети всех фишинговых атак во второй половине 2009 года, назвав ее «одной из самых изощренных и разрушительных в Интернете» и «самой плодовитой фишинговой группировкой в ​​мире». . [4]

Снять

[ редактировать ]

В ноябре 2009 года охранным компаниям удалось на короткое время отключить ботнет Avalanche; после этого «Лавина» сократила масштабы своей деятельности и изменила образ действий . К апрелю 2010 года количество атак Avalanche сократилось до 59 с более чем 26 000 в октябре 2009 года, но это снижение было временным. [1] [4]

30 ноября 2016 года ботнет Avalanche был уничтожен по итогам четырёхлетнего проекта Интерпола , Европола , Shadowserver Foundation , [10] Евроюст , полиция Люнеберга (Германия), Федеральное управление информационной безопасности Германии (BSI), Fraunhofer FKIE, несколько антивирусных компаний, организованных Symantec , ICANN , CERT , ФБР и некоторые реестры доменов, которые использовались группа.

Symantec провела реверс-инжиниринг клиентского вредоносного ПО, и консорциум проанализировал 130 ТБ данных, собранных за эти годы. Это позволило ему обойти с помощью fast-flux обфускацию распределенного DNS , отобразить структуру командования/управления. [11] ботнета и идентифицировать его многочисленные физические серверы.

Проведено обыск в 37 помещениях, конфисковано 39 серверов, 221 арендованный сервер удален из сети после уведомления их ничего не подозревающих владельцев, 500 000 компьютеров-зомби освобождены от дистанционного управления, 17 семейств вредоносных программ лишены c/c, а пять человек, запустили ботнет, были арестованы.

правоохранительных органов Сервер , описанный в 2016 году как «крупнейший за всю историю», с 800 000 обслуживаемых доменов, собирает IP-адреса зараженных компьютеров, которые запрашивают инструкции у ботнета, чтобы владеющие ими интернет-провайдеры могли информировать пользователей о том, что их машины заражены, и предоставлять программное обеспечение для удаления. [12] [13] [14]

Вредоносное ПО лишено инфраструктуры

[ редактировать ]

На Avalanche размещались следующие семейства вредоносных программ:

  • Троянский конь шифрования Windows (WVT) (также известный как Matsnu, Injector, Rannoh, Ransomlock.P)
  • URLzone (он же Бебло)
  • Цитадель
  • ВМ-ЗевС (он же КИНС)
  • Бугат (он же Феодо, Геодо, Кридекс, Драйдекс, Эмотет )
  • новыйGOZ (он же GameOverZeuS)
  • Тинба (он же TinyBanker)
  • Nymaim/GozNym
  • Вавтрак (он же Neverquest)
  • ходить
  • Пандабанкер
  • Ранбюс
  • Умное приложение
  • TeslaCrypt
  • Доверительное приложение
  • Xswkit

Сеть Avalanche также обеспечивала связь c/c для других ботнетов:

Ссылки

[ редактировать ]
  1. ^ Jump up to: а б Грин, Тим. «Самый опасный фишинг-вредитель, возможно, набирает обороты» . Мир ПК . Архивировано из оригинала 20 мая 2010 года . Проверено 17 мая 2010 г.
  2. ^ Макмиллан, Роберт (12 мая 2010 г.). «В большинстве случаев фишинга в отчете обвиняется группа Avalanche» . Сетевой мир . Архивировано из оригинала 13 июня 2011 г. Проверено 17 мая 2010 г.
  3. ^ Макмиллан, Роберт (12 мая 2010 г.). «В большинстве случаев фишинга в отчете обвиняется группа Avalanche» . Компьютерный мир . Архивировано из оригинала 16 мая 2010 года . Проверено 17 мая 2010 г.
  4. ^ Jump up to: а б с д и Аарон, Грег; Род Расмуссен (2010). «Глобальное исследование фишинга: тенденции и использование доменных имен во втором полугодии 2009 г.» (PDF) . APWG Отраслевые консультации . Проверено 17 мая 2010 г.
  5. ^ Jump up to: а б с д «Отчет о тенденциях фишинга: анализ угроз финансового мошенничества в Интернете, второй квартал 2009 г.» (PDF) . Интернет-идентификация . Проверено 17 мая 2010 г. [ постоянная мертвая ссылка ]
  6. ^ Каплан, Дэн (12 мая 2010 г.). « Фишинг «Лавина» замедлился, но был в моде 2009 года» . Журнал СК . Архивировано из оригинала 1 февраля 2013 г. Проверено 17 мая 2010 г.
  7. ^ Мохан, Рам (13 мая 2010 г.). «Состояние фишинга: результаты исследования фишинга APWG и группы фишинга Avalanche» . Неделя безопасности . Проверено 17 мая 2010 г.
  8. ^ Нарейн, Райан. « Комплект криминального ПО Avalanche способствует фишинговым атакам» . ThreatPost . Лаборатория Касперского . Архивировано из оригинала 2 августа 2010 г. Проверено 17 мая 2010 г.
  9. ^ Ито, Юрие. «Массовая криминальная фишинговая атака, известная как Avalanche, метод доставки ботнет-инфектора Zeus» . Информационное сообщение ICANN о ситуации 06.10.2009 . ИКАНН . Архивировано из оригинала 2 апреля 2010 года . Проверено 17 мая 2010 г.
  10. ^ «Фонд Теневого Сервера – Теневой Сервер – Миссия» .
  11. ^ «Инфографика операции «Лавина»» . europol.europa.eu . Проверено 9 ноября 2021 г.
  12. ^ Питерс, Сара (1 декабря 2016 г.). «Ботнет Avalanche терпит крах в результате крупнейшей в истории операции по проникновению в сеть» . darkreading.com . Проверено 3 декабря 2016 г.
  13. ^ Symantec Security Response (1 декабря 2016 г.). «Вредоносная сеть Avalanche уничтожена правоохранительными органами» . Симантек Коннект . Симантек . Проверено 3 декабря 2016 г.
  14. ^ Европол (1 декабря 2016 г.). « Сеть «Лавина» ликвидирована в ходе международной кибероперации» . europol.europa.eu . Европол . Проверено 3 декабря 2016 г.
  15. ^ US-CERT (30 ноября 2016 г.). «Тревога ТА16-336А» . us-cert.gov . СЕРТ . Проверено 3 декабря 2016 г.
[ редактировать ]
Retrieved from "https://en.wikipedia.org/w/index.php?title=Avalanche_(phishing_group)&oldid=1222890480"
Arc.Ask3.Ru: конец переведенного документа.
Arc.Ask3.Ru
Номер скриншота №: 6bbfd026082ef9f57ab18050ccff074b__1715171700
URL1:https://arc.ask3.ru/arc/aa/6b/4b/6bbfd026082ef9f57ab18050ccff074b.html
Заголовок, (Title) документа по адресу, URL1:
Avalanche (phishing group) - Wikipedia
Данный printscreen веб страницы (снимок веб страницы, скриншот веб страницы), визуально-программная копия документа расположенного по адресу URL1 и сохраненная в файл, имеет: квалифицированную, усовершенствованную (подтверждены: метки времени, валидность сертификата), открепленную ЭЦП (приложена к данному файлу), что может быть использовано для подтверждения содержания и факта существования документа в этот момент времени. Права на данный скриншот принадлежат администрации Ask3.ru, использование в качестве доказательства только с письменного разрешения правообладателя скриншота. Администрация Ask3.ru не несет ответственности за информацию размещенную на данном скриншоте. Права на прочие зарегистрированные элементы любого права, изображенные на снимках принадлежат их владельцам. Качество перевода предоставляется как есть. Любые претензии, иски не могут быть предъявлены. Если вы не согласны с любым пунктом перечисленным выше, вы не можете использовать данный сайт и информация размещенную на нем (сайте/странице), немедленно покиньте данный сайт. В случае нарушения любого пункта перечисленного выше, штраф 55! (Пятьдесят пять факториал, Денежную единицу (имеющую самостоятельную стоимость) можете выбрать самостоятельно, выплаичвается товарами в течение 7 дней с момента нарушения.)