Internationale Zusammenarbeit der Polizei führt zur Zerschlagung von Avalanche

Originalbeitrag von Bob McArdle, Senior Threat Researcher

Am 30. November konnte Avalanche, eine Content-Delivery- und Managementplattform für die Bereitstellung von so genannten Bullet Proof Botnets, zerschlagen werden. Die international durchgeführte Polizeioperation von Europol, FBI, deutscher Polizei und Eurojust sowie Partnern in der Shadowserver Foundation, war die erfolgreichste und wirksamste Aktion der letzten Jahre gegen Cyberkriminalität. Von Avalanche betroffen waren mehr als 800.000 Domänen in mehr als 60 Top-Level Domänen (TLD). Über eine Million Phishing- und Spam-Mails wurden verschickt, 500.000 Maschinen weltweit infiziert, und die Angriffsopfer kamen aus 180 Ländern.

Bis es zur Zerschlagung von Avalanche kam, vergingen vier Jahre, und die Aktion reiht sich in die Operationen gegen SpyEye,SIMDA Refud.me und Cryptex Reborn, DRIDEX, ZeroAccess, TDSS, ZeuS/ZBOT, Dorkbot sowie die Festnahmen nigerianischer Betrüger ein.

Malware Familie Trend Micro Erkennung Malware Familie Trend Micro 
Erkennung
Citadel CITADEL/ZBOT Rovnix ROVNIX
Corebot COREBOT Smoke Loader / Dofoil GAMARUE
Bolek BOLEK TeslaCrypt RANSOM_TESLACRYPT / CRYPTESLA
Gozi2 GOZI/PAPRAS Tiny Banker / Tinba TINBA
Goznym NYMAIM/KRYPTIK UrlZone BEBLOH
KINS/VMZeus ZBOT  Vawtrak VAWTRAK
Matsnu BKDR_MATSNU  Xswkit BEBLOH/TALALPEK
Nymaim NYMAIM / HPNYMAIM  Cerber RANSOM_CERBER
Pandabanker KRYPTIK/INJECT  Locky RANSOM_LOCKY
Randybus BANKER

Bild 1. Einige Schadsoftware-Familien, die Avalanche nutzte

Europol und die Shadowserver Foundation nennen mehr als 20 Schadsoftware-Familien, die Avalanche in den Kampagnen nutzte. Für all diese bietet Trend Micro Clean-Up Tools für die Betroffenen. HouseCall können die Opfer kostenlos beziehen, um die mit den Angriffen in Zusammenhang stehenden Dateien von ihren Systemen zu entfernen. Kommunikation mit Command-and-Control (C&C) von den infizierten Maschinen kann nämlich angestoßen werden, und Junk-Verkehr kann die Systemleistung beeinträchtigen. Auch könnte eine infizierte Maschine so konfiguriert werden, dass sie daran gehindert wird, auf Internet-Ressourcen wie etwa Patches oder Cleanup-Tools zuzugreifen. Das Risiko einer erneuten Infektion lässt sich dadurch vermindern, dass die Zugangsdaten für das Gerät und Konto aktualisiert werden, durch Überprüfung von Online-Konten oder Backups auf Änderungen und durch die Installation der neuesten Patches auf den Systemen.

Profit durch Finanzinformationen

Neben Ransomware umfasste das Arsenal von Avalanche vor allem Banking-Malware, mit deren Hilfe Cyberkriminelle Mail- und Banking-Zugangsdaten abgreifen konnten.


Bild 2. Die von Q1 bis Q3 2016 am meisten von Banking-Schadsoftware betroffenen Länder

Avalanche zeichnet das klassische Bild der Kommerzialisierung der digitalen Informationen der Opfer. Feedback aus dem Smart Protection Network zeigt, dass in den ersten drei Quartalen 2016 in Brasilien und in den USA die höchste Zahl von Banking-Schadsoftware erkannt wurde. In Europa waren es Deutschland, Italien, Frankreich und Großbritannien, Österreich und Spanien.

Für eine Welt mit sicherem Austausch digitaler Informationen

Trend Micro, vor allem das Forward Looking Threat Research (FTR) Team, arbeitet mit verschiedenen Polizeibehörden rund um die Welt zusammen, so etwa mit Interpol, Europol, FBI und anderen. Trend Micro unterstützt die Arbeit der internationalen Polizeibehörden mit der erforderlichen Technik, Informationen und Expertise. Daten werden nicht weitergegeben. Trend Micro engagiert sich auch aktiv in den Ermittlungen.

Ziel des Unternehmens ist es, die Welt für den Austausch digitaler Informationen sicherer zu gestalten.

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.

*

Diese Website verwendet Akismet, um Spam zu reduzieren. Erfahre mehr darüber, wie deine Kommentardaten verarbeitet werden.