Security managementSicurezza

Europol blocca la botnet Avalanche

Silicon è il sito di tecnologia dedicato alle strategie delle aziende IT che cavalcano i nuovi trend di mercato, dal cloud computing alla virtualizzazione, dal mobile al byod. Analisi, approfondimenti, prove di app e prodotti, oltre alle notizie quotidiane, fanno di Silicon l’appuntamento giornaliero per i manager che vogliono capire come la tecnologia possa aiutarli nel fare business. Su queste tematiche Silicon realizza interviste agli attori del mercato e reportage dai principali eventi, sia in Italia sia all’estero.

In azione da diversi anni, Avalanche si è “nascosta” usando sistemi sofisticati che celavano la struttura della sua rete di controllo

Grazie alla collaborazione delle forze di polizia di varie nazioni è stato possibile smantellare la botnet criminale nota come Avalanche, che è stata usata per lanciare attacchi in molti Paesi ma che si è concentrata in particolare sul sistema bancario tedesco, ai danni del quale si stima abbia generato danni economici per 6 milioni di euro.

Complessivamente si stima che Avalanche abbia portato a perdite monetarie per centinaia di milioni di euro, anche se Europol spiega che è difficile dare una cifra precisa “per l’elevato numero di famiglie di malware gestite attraverso la piattaforma”. Avalanche avrebbe infatti veicolato una ventina di tipi diverso di malware.

Lo smantellamento di Avalanche ha richiesto la collaborazione di una trentina di nazioni (tra cui l’Italia) e ha portato all’arresto di 5 persone, alla confisca di 39 server e al blocco di altri 221 ospitati da ignari provider. L’operazione viene indicata come il più importante uso su larga scala delle tecniche di sinkholing, con oltre 800 mila domini coinvolti.

Le nazioni che generano più traffico in uscita dai server che controllano le botnet
Le nazioni che generano più traffico in uscita dai server che controllano le botnet (dati 2015)

Avalanche era in uso sin dal 2009 per attività di phishing e spam. Nel 2012 attira l’attenzione delle autorità tedesche per una campagna di diffusione di ransomware che porta all’infezione di milioni di computer aziendali e privati, grazie alla quale i criminali raccolgono dati di accesso ai sistemi bancari e provvedono a eseguire bonifici ai danni dei conti delle vittime. Si suppone che in questa fase Avalanche “piloti” mediamente ogni giorno circa mezzo milione di computer infettati.

Ci sono voluti quattro anni di indagini a livello globale per scoprire la struttura della rete dei server di comando e controllo di Avalanche, che impiegava sistemi molto sofisticati per evitare la sua identificazione e per ridistribuire i compiti quando alcuni nodi venivano identificati. L’organizzazione criminale dietro Avalanche impiegava anche una rete organizzata di persone che acquistavano beni con i fondi rubati, riuscendo in questo modo a riciclare il denaro sottratto illegalmente.