Europol, FBI e altre agenzie investigative di tutto il mondo hanno collaborato per mettere fine all’attività di uno dei network di cybercrime più imponenti del pianeta: Avalance. L’operazione si è conclusa nella giornata di oggi, al termine di un’indagine avviata oltre quattro anni fa dalla polizia tedesca.
La rete, basata su cloud, poteva essere affittata da malintenzionati di ogni tipo per distribuire malware, ransomware e per mettere in atto campagne di phishing, oltre che per il riciclaggio di denaro proveniente da attività illecite. Il network ha operato per lungo tempo, evitando i tentativi di takedown grazie alle complicate tecniche impiegate per garantirsi l’anonimato come il Double Fast Flux. Un business tanto imponente da portare alla generazione di migliaia di nuovi domini su base quotidiana, tutti caratterizzati da IP e DNS cambiati ogni pochi minuti.
La dinamica sfruttata per attuare gli attacchi e perpetrare le attività illegali è in qualche modo paragonabile all’uso dei proxy che gli utenti fanno per accedere a Netflix da paesi non raggiunti dal servizio, mascherando la loro reale provenienza e facendo credere alla piattaforma di connettersi da un territorio diverso rispetto a quello reale. Anziché passare da un solo proxy, i dati in viaggio sul network Avalanche attraversavano un percorso molto più complesso e tortuoso, rendendo così praticamente impossibile risalire alla loro provenienza.
L’operazione di oggi pone fine ad un’attività iniziata nell’ormai lontano 2009 e che, nella seconda parte di quell’anno, è stata responsabile dei due terzi degli attacchi di phishing rilevati a livello mondiale, secondo il report dell’Anti-Phishing Working Group.
Per capire l’entità del pericolo, si stima che ogni giorno Avalanche sia arrivato ad infettare circa mezzo milione di computer, che a loro volta hanno inviato un milione di email contenenti codice maligno a settimana. L’indagine si è conclusa il 30 novembre con l’arresto di cinque persone, la perquisizione di 37 edifici. Coinvolti 39 provider, spenti 221 server e messi offline più di 830.000 domini.