ถูกปิดแล้ว !! เครือข่ายมัลแวร์ Avalanche กว่า 220 เครื่องทั่วโลก

หน่วยงานผู้บังคับใช้กฏหมายและบริษัทอินเทอร์เน็ตจากทั่วโลก ร่วมมือกันไล่ล่าหนึ่งในเครือข่ายอาชญากรรมไซเบอร์ที่ใหญ่ที่สุดในทศวรรษนี้ นั่นคือ Avalanche ซึ่งเป็นฐานบัญชาการมัลแวร์กว่า 20 สายพันธุ์ ตั้งแต่ Ransowmare ไปจนถึง Banking Trojan ส่งผลให้สามารถจับผู้ต้องหาได้ 5 คน พบแหล่งกบดาน 37 แห่ง ยึดครองเซิร์ฟเวอร์ 37 เครื่อง และสั่งปิดเซิร์ฟเวอร์อื่นๆ อีก 221 เครื่อง

พบ Malware Operator เช่าใช้เครือข่ายของ Avalanche หลายราย

เครือข่ายอาชญากรรมไซเบอร์นี้ ถูกตั้งชื่อว่า “Avalanche” ซึ่งถูกใช้โดยนักพัฒนามัลแวร์หลายราย ไม่ว่าจะเป็นการส่ง Spam, การโฮสต์และแพร่กระจายมัลแวร์, การโฮสต์ C&C Server นอกจากนี้ยังถูกใช้เพื่อเป็นช่องทางโจรกรรมทางการเงินและฟอกเงินอีกด้วย

การไล่ล่าเครือข่ายมัลแวร์นี้เกิดจากความร่วมมือกันระหว่างผู้บังคับใช้กฏหมาย และหน่วยงานด้านอินเทอร์เน็ตและเทคโนโลยีมากกว่า 30 ประเทศ ไม่ว่าจะเป็น Europol, Eurojust, Interpol, FBI, US DoJ, ICANN, Symantec, Shdowserver Foundation, Registrar of Last Resort และอื่นๆ ซึ่งปฏิบัติการเริ่มต้นเมื่อปี 2012 หลังจากมีเหตุ Ransowmare ชื่อว่า Ransomlock.P ปลอมเป็นการจ่ายค่าปรับของตำรวจ

สั่งปิดโดเมนมากกว่า 800,000 โดเมน

เจ้าหน้าที่ที่เกี่ยวข้องระบุว่า พวกเราได้ทำการยึด ปิด และบล็อกโดเมนมากกว่า 800,000 โดเมนที่ใช้เป็นแหล่งของ Malware Botnet ที่โดเมนมีจำนวนมหาศาลขนาดนี้เนื่องจาก Botnet ส่วนใหญ่ใช้เทคนิคที่เรีกยว่า Double Fast Flux DNS ซึ่งก่อนให้เกิดโดเมนจำนวนมากในแต่ละวันเพื่อซ่อนตำแหน่งที่แท้จริงของ C&C Server

ด้านล่างเป็นรายชื่อของมัลแวร์ที่โฮสต์อยู่ในเครือข่าย Avalanche โดย US-CERT

Windows-encryption Trojan horse (WVT) (aka Matsnu, Injector,Rannoh,Ransomlock.P)

• URLzone (aka Bebloh)
• Citadel
• VM-ZeuS (aka KINS)
• Bugat (aka Feodo, Geodo, Cridex, Dridex, Emotet)
• newGOZ (aka GameOverZeuS)
• Tinba (aka TinyBanker)
• Nymaim/GozNym
• Vawtrak (aka Neverquest)
• Marcher
• Pandabanker
• Ranbyus
• Smart App
• TeslaCrypt
• Trusteer App
• Xswkit

หัวหน้าของเครือข่าย Avalanche ถูกจับ

Fernando Ruiz หัวหน้าหน่วยปฏิบัติการของศูนย์อาชญากรรมไซเบอร์จาก Europol แถลงแก่นักข่าวว่า พวกเขาประสบความสำเร็จในการจับตัวหัวหน้าของเครือข่าย Avalanche ซึ่งทาง Europol คาดการณ์ว่าหัวหน้าและพรรคพวกใช้เครือข่าย Avalanche ขโมยเงินทั่วโลกไปแล้วกว่า 100 ล้านยูโร (ประมาณ 3,800 ล้านบาท) นอกจากนี้เครือข่าย Avalanche ยังถูกใช้เพื่อโจมตีแบบ DDoS และส่ง Spam เป็นจำนวนมากถึง 100 ล้านอีเมลในแต่ละสัปดาห์

ยังมีผู้ใช้มากกว่า 500,000 คนที่ติดมัลแวร์

ทีมพิสูจน์หลักฐานเชื่อว่า เครือข่าย Avalanche ถูกสร้างขึ้นเมื่อปี 2009 และจนถึงตอนนี้มีผู้ใช้มากกว่า 500,000 คนที่ติดมัลแวร์ที่แพร่กระจายมาจากเครือข่ายดังกล่าว ถึงแม้ว่าเครือข่ายหลังบ้านของมัลแวร์จะถูกพังทลายลงแล้ว แต่มัลแวร์เหล่านั้นก็ยังคงอยู่ใน PC ซึ่งเสี่ยงต่อการถูกแฮ็คเกอร์คนอื่นๆ หาหนทางติดต่อกับมัลแวร์เหล่านั้นได้สำเร็จ และเปลี่ยน PC ให้เป็น Botnet ของตนได้

ด้านล่างเป็น Infographic อธิบายการทำงานของเครือข่าย Avalanche

ที่มา: https://www.bleepingcomputer.com/news/security/massive-avalanche-malware-distribution-network-shut-down-by-authorities/