Démantèlement du botnet Andromeda / Gamarue par Europol

3
105

Europol vient d’annoncer le démantèlement d’un important botnet utilisé pour diffuser plus de 80 familles de malwares différentes à l’international. Il comptait plusieurs millions d’appareils zombies sous ses ordres.

Suite à une étroite collaboration entre ESET et Microsoft, les services du FBI, Interpol et Europol ont mis fin à l’activité du botnet Gamarue également nommé Andromeda. L’annonce choc intervient juste au moment où s’ouvre la Botconf, la conférence internationale sur la lutte contre les botnets.

Opération de sinkholing

Actif depuis 2011, Andromeda / Gamarue infectait plus de 1,1 million de systèmes par jour. Les chercheurs ESET et Microsoft ont partagé avec les forces de l’ordre leurs analyses techniques, des données statistiques et les domaines des serveurs C&C (commande et contrôle) utilisés par ce réseau de botnets. ESET a également fourni l’ensemble de ses recherches sur Gamarue / Andromeda. Notons que ce botnet était basé sur Avalanche, démantelé en 2016 lors d’une précédente opération massive.

« Compte tenu de l’ampleur et de la persistance de cette menace, lorsque Microsoft a sollicité notre aide pour mettre fin à ce réseau de botnets, nous n’avons pas hésité une seconde », déclare Jean-Ian Boutin, Senior Malware Researcher chez ESET.

Ce botnet était largement monétisé sur les forums clandestins du darknet et les places de marché illicites par le biais de la location et directement lié à la propagation de divers kits cybercriminels à la mode. C’était l’un des meilleurs diffuseur de codes malveillants, qui se faisait très discret lors des infections par rapport aux différents mécanismes de contrôle et de détection existant sur le marché. Grâce à cela, Gamarue / Andromeda serait à l’origine de la diffusion de plus de 80 familles de malwares comprenant des ransomwares (dont Petya et Cerber), des keyloggers, des chevaux de Troie, des outils de fraude et autres codes nécessaires aux auteurs d’attaques DDoS.

Les échantillons analysés par les chercheurs d’ESET ont montré que le malware était distribué dans le monde entier (223 pays exactement) via les réseaux sociaux, la messagerie instantanée, des supports amovibles type clés USB, des campagnes de spam ou encore des kits d’exploitation de menaces.

« En s’appuyant sur la plateforme d’analyse et de corrélation ESET Threat Intelligence, les chercheurs d’ESET ont élaboré un serveur “robot” dédié à la détection de l’ensemble des cyber-menaces émises par le serveur C&C », déclare Benoît Grunemwald, Cybersecurity Leader chez ESET France et Afrique francophone.

Pour annihiler la menace, les autorités se sont attaquées aux noms de domaines utilisés par le malware Andromeda. Ce sont au total, plus de 1 500 noms de domaines exploités illégalement qui ont été attaqués en utilisant la technique du « point d’eau » (Sinkhole). Cette méthode consiste à prendre le contrôle des noms de domaines suspects afin d’analyser le trafic en leur direction. Cela permet d’identifier la taille du botnet ainsi que les victimes du malware utilisé pour enrôler de nouvelles machines (d’où les statistiques assez précises communiquées par les chercheurs lors de ce démantèlement).

Europol annonce que la surveillance des noms de domaines se poursuivra pendant un mois pour permettre aux autorités d’identifier les dernières machines victimes du botnet. Un suspect a également été arrêté en Biélorussie.

3 Commentaires

  1. Bonjour,
    Juste un petit mot pour signaler une coquille :
    “les autorités se sont attaquer aux noms de domaines”
    Attaquer doit être ici au participe passé.
    “Les autorités se sont attaquées aux noms de domaines”.

    Evidemment vous pourrez effacer ce commentaire désagréable après lecture et correction. Je vous prie par avance de m’en excuser.

    Bien cordialement.
    Un informaticien…

Les commentaires sont fermés.