Après quatre ans d'enquête, l'Office européen de police Europol annonce le démantèlement du réseau Avalanche. Une sorte de botnet en couteau suisse pour les cyberciminels qui a sévi depuis 2009 pour mener des attaques de malwares, du phishing et du spam.

En collaboration avec les autorités américaines et européennes d'une trentaine de pays, cinq individus ont été interpellés mais le secret est gardé sur les lieux des arrestations. L'opération internationale a abouti à la saisie de 39 serveurs, tandis que 221 serveurs ont été déconnectés. Plus de 800 000 noms de domaine ont également été saisis, bloqués ou utilisés pour rediriger les victimes infectées vers des serveurs contrôlés par les autorités.

Conçu comme un environnement Cloud qui était loué à des cybercriminels, Avalanche a pu compter jusqu'à un demi-million d'ordinateurs infectés quotidiennement à travers le monde et contrôlés à leur insu. Avalanche a été utilisé pour l'hébergement d'un peu moins d'une vingtaine de malwares. Pas des moindres avec parmi ceux-ci le ransomware TeslaCrypt, le cheval de Troie bancaire GozNym ou encore Citadel.

Avalanche était également utilisé comme une infrastructure de communication pour d'autres botnets. Selon Europol, Avalanche est responsable de dommages à hauteur de 6 millions d'euros pour la seule industrie bancaire allemande.

Pour protéger son infrastructure de commande et contrôle, et éviter une fermeture pendant tant d'années, la plate-forme Avalanche s'est notamment appuyée sur un imposant maillage de serveurs proxy et une technique dite de double fast flux. Cela lui permettait de modifier rapidement la localisation apparente des adresses IP d'un domaine et les serveurs de noms pour la résolution de noms d'hôtes DNS.

Avalanche-Europol
Dans une alerte de sécurité concernant Windows, l'US-CERT propose une liste d'outils gratuits pour éliminer les malwares associés au botnet Avalanche. Les solutions de sécurité à jour sont censées pouvoir offrir une protection.