アバランシェ・マルウェア・ネットワークを法執行により停止

アバランシェ・マルウェアホスティングネットワークは、少なくとも17のマルウェアファミリーが利用するインフラストラクチャの解体により、大きな打撃を受けました。 複数の国際法執行機関、検察官、シマンテックなどのセキュリティおよびIT事業者が共同で行った解体作業により、結果として、アバランシェ・ネットワークの背後にある犯罪組織によって使用されていた39台のサーバーと数十万個のドメインを奪取した ネットワークを差し押さえました。

シマンテックの役割

2012年、シマンテックは法執行機関に偽装をするランサムウェアに関する調査を発表しました。そのようなランサムウェアは、当時は主流のマルウェアであり、さまざまな国を攻撃するためにさまざまな攻撃者グループが利用されていました。この論文の調査の一環として、様々な団体を対象とする主要国が特定されました。 ransomware Trojan.Ransomlock.Pを使用している1つの特定のグループは、主にドイツ、オーストリア、スイスの一部でドイツ語を話す人をターゲットにしていました。

また、Tranjan.BeblohまたはURLZoneとして知られるマルウェアによって、トランスクリプトで使用されるコマンドおよび制御(C&C)サーバーの少なくとも1つが使用されていることも、このペーパーで指摘されています。

当時、BeblohはTrojan.Ransomlock.Pと同じ被害者を対象とした、ドイツ、オーストリア、スイスのドイツ語による銀行を狙ったトロイの木馬です。 2012年の出版と同時に、ルネベールのドイツの町の警察チームとドイツのヴェルデンの町の検察庁が、ベブロのマルウェアを調査していました。 2つのマルウェアファミリーがネットワークインフラストラクチャを共有していることを考えると、2つのアクティビティの間に接続があると仮定しました。

シマンテック社は、悪意のあるインフラストラクチャを特定し、マルウェアをリバースエンジニアリングすることにより、調査の初期段階で警察に技術支援を提供しました。同様のC&Cインフラストラクチャを共有している多くのマルウェアファミリーも発見され、ルネベール警察はこれらの家族の調査を拡大し始めました。

警察の調査によると、さまざまなマルウェアファミリーがすべて、雪崩のボットネットと呼ばれるものにホストされていました。これは、多数の異なる俳優のためのC&Cインフラストラクチャを促進するためにレンタルされている侵害されたコンピュータのネットワークです。

合同調査

その後、数年間、ルネベール警察とVerden検察庁は、BSI、FKIE、BFK、その他数多くの法執行機関や業界パートナーと協力して、アバランシェ・ネットワークの調査を続け、マルウェアに感染した世界中にある膨大な数のコンピュータを操作するための大規模な運用体制を発見しました。

調査は11月30日に昨日最高潮に達し、少なくとも17の異なるマルウェアファミリーのサポートと、活動に参加していると思われる複数の人の逮捕のインフラストラクチャの撤去をもたらしました。

ルネベール警察とヴェルデン検察庁の調査は、経験豊富な法執行機関の調査チームが、政府、学界、および民間企業からの支援を受けていかに持続しているかによって、サイバー犯罪者に対して非常に効果的な措置がもたらされる可能性があるという、シマンテックはこの作業を支援してくれることを嬉しく思っており、今後の調査で必要とされるように法執行機関に技術支援を提供する準備が整いました。

保護と除去

SymantecとNorton製品は、Avalancheボットネットに関連するマルウェアに対する保護を提供します。
Norton Power Eraser(NPE)ツールはまた、雪崩関連の感染をスキャンして除去します。 感染を取り除くことが困難な場合は、NPEをセーフモードで実行する必要があります。

参照:

https://www.symantec.com/connect/blogs/avalanche-malware-network-hit-law-enforcement-takedown