Avalanche, un botnet criminel géant a été démantelé

Tech > Malware
Par David Pain,  publié le 3 décembre 2016 à 7h00.

Un vaste réseau informatique permettant à des cybercriminels d’agir partout dans le monde à été arrêté grâce à la collaboration internationale.

Imaginez des centaines de milliers d’ordinateurs connectés les uns avec les autres pour travailler ensemble. Au choix, une capacité de calcul multipliée ou… une capacité de nuisance. Avalanche se rangeait dans la seconde catégorie. Après quatre ans d’enquête, Europol a enfin pu démanteler ce qui était sans aucun doute la plus grande infrastructure de malwares au monde.

Avalanche infectait des machines dans 180 pays

Avalanche existait depuis 2009. Il s’agissait d’une structure organisée dans un environnement Cloud permettant de faire de la gestion de malwares. Elle était lié à de nombreux logiciels malveillants parmi lesquels Bolek, Citadel, Corebot ou encore Vawtrak.

Il est difficile d’imaginer l’ampleur réelle du réseau. Selon les experts, environ un demi-million d’ordinateurs étaient infectés et avaient transformés Avalanche en un réseau de distribution de malwares, spam et phishing. Le réseau était loué à des cybercriminels qui pouvaient utiliser sa force de frappe démesurée. Au plus fort de son activité, il permettait d’envoyer jusqu’à un million de mails par semaine et infectait des machines dans 180 pays.

Une infrastructure bien protégée

S’il a fallu autant de temps pour s’en débarrasser c’est en grande partie grâce à la technique dite de « double flux » qu’il utilisait. Cela lui permettait de modifier rapidement la localisation des adresses IP et les serveurs de noms de domaines, le rendant virtuellement intraçable.

S’il est tombé, c’est avant tout le résultat d’une collaboration internationale. Michèle Coninsx, présidente d’Eurojust, a ainsi expliqué que cela « marque un moment important dans la lutte contre le cybercrime organisé », tout en démontrant « l’importance pratique et stratégique d’Eurojust dans la promotion de la coopération internationale ». L’opération a abouti à l’arrestation de cinq personnes, et à la saisie de 39 serveurs et de 800.000 noms de domaine.

Plusieurs outils sont disponibles pour savoir si votre machine a été infectée par Avalanche. Vous pourrez en trouver la liste sur le site de l’US-Cert.

En savoir plus