No dia 30 de novembro, uma operação internacional da polícia acabou com a Avalanche, uma plataforma de gestão e de conteúdos em larga escala projetada para fornecer botnets à prova de bala. A escala e o escopo da Avalanche fizeram vítimas em 180 países, em mais de 800 mil domínios, em mais de 60 domínios de alto nível (TLD), com mais de um milhão de e-mails de phishing e spam, mais de 500 mil máquinas infectadas ao redor do mundo e 130TB de dados capturados e analisados.
O esforço coordenado de polícias internacionais, que incluem o Procurador Verden do Ministério Público Alemão e a Polícia Lüneburg, a Procuradoria Americana para o Distrito Oeste da Pensilvânia, o Departamento de Justiça e o Federal Bureau of Investigation (FBI), a Europol e a Eurojust, bem como parceiros na ShadowServer, resultou na operação anti-crimes virtuais mais bem-sucedida dos últimos anos. A Avalanche, cuja derrota levou quatro anos, junta-se SpyEye, SIMDA, Refud.me and Cryptex Reborn, DRIDEX, ZeroAccess, TDSS, ZeuS/ZBOT, Dorkbot and Nigerian , em uma série de derrotas semelhantes que impediu que bandidos lançassem mais ataques virtuais e roubassem mais dados financeiros.
Também saudamos os pesquisadores e analistas de segurança que foram essenciais para a desmantelar a operação da Avalanche, juntamente com o apoio das partes interessadas da indústria e todos aqueles que ajudaram nesta longa investigação.
Figura 1. Algumas das famílias de malware potencializadas pela Avalanche
As informações repassadas pela Europol e pela Shadowserver Fundation citaram mais de 20 famílias de malware envolvidas nas campanhas da Avalanche, as quais a varredura online da Trend Micro, HouseCall, consegue detectar. Os usuários finais afetados também podem usar o HouseCall para remover os arquivos relacionados dos seus sistemas – o que é tão crucial quanto a remoção do malware. As comunicações de comando e controle (C&C) das máquinas infectadas, por exemplo, também podem ser acionadas e, consequentemente, gerar tráfego de lixo que pode afetar o desempenho do sistema. A máquina comprometida também pode potencialmente ser configurada para impedi-la de acessar os recursos da Internet, tais como ferramentas de limpeza e correções. Os usuários podem mitigar os riscos de reinfecção por meio da atualização do dispositivo e das credenciais da conta, verificando se as contas online ou backups foram modificados, e se certificando de que as correções mais recentes foram instaladas no sistema.
Figura 2. Os principais países afetados por malware bancário, Q1–Q3 2016
Lucrando com as Informações Financeiras
Além dos ransomwares, o arsenal da Avalanche era composto principalmente de malwares bancários. Este malwares capacitavam os bandidos para que pudesse coletar credenciais bancárias e do e-mail sem que fossem notados, o que custou aos sistemas bancários online alemães cerca de 6 milhões de euros em perdas.
A Avalanche é um caso clássico de comercialização do cibercrime, usando malwares para ganhar dinheiro com a informação digital das vítimas. O feedback da nossa Smart Protection Network mostrou que nos três primeiros trimestres de 2016, o Brasil e os EUA tiveram o maior número de detecções de malwares bancários em suas regiões. Na Europa, a maioria das detecções foram observadas na Alemanha, Itália, França, Reino Unido, Áustria e Espanha. Na região da APAC, Japão, Filipinas, Vietnã e China foram os países mais prejudicados pelas ameaças que potencializam Trojans bancários.
Tornando o Mundo Mais Seguro para a Troca de Informações Digitais.
A infraestrutura da Avalanche englobava 30 países e vários estados americanos, portanto foi necessário um esforço multinacional para derrubar a plataforma. A Trend Micro, especialmente a equipe de Forward Looking Threat Research (FTR), trabalha em conjunto com várias polícias em todo o mundo — Interpol, Europol, FBI e Agência de Crime Nacional do Reino Unido, para citar algumas — para ajudar a combater o cibercrime.
Ajudamos a empoderar as organizações internacionais policiais que para que possam ficar de olho no seu ciberespaço, fornecendo a tecnologia, as informações e os conhecimentos necessários. Nós não fornecemos apenas dados; a Trend Micro também colabora de forma ativa com a polícia em investigações para, finalmente, identificar e prender os cibercriminosos por trás dos ataques.
O objetivo da Trend Micro vai muito além de trabalhar para proteger nossos clientes, também queremos tornar o mundo mais seguro para a troca de informações digitais. O cibercrime é uma “empresa” global em franco crescimento, mas com cinco prisões, 37 locais revistados, 39 servidores apreendidos e 221 desligados, a derrota da Avalanche, juntamente com triunfos similares, não serve só como um alerta para aspirantes a cibercriminosos; também demonstra o progresso da nossa indústria no sentido de tornar a Internet mais segura para todos.
