Alerte - Démantèlement du réseau de zombies Avalanche

Numéro : AL16-023
Date : Le 1^er décembre 2016

Objet

La présente a pour but d’attirer votre attention sur le démantèlement récent du réseau de zombies « Avalanche ».

Évaluation

Le 30 novembre 2016, il y a eu un démantèlement coopératif à l’échelle mondiale du réseau de zombies Avalanche. « Avalanche » désigne une infrastructure de réseau internationale de « logiciels criminels comme service (CaaS pour « crimeware-as-a-service ») exploitée par des cybercriminels afin de mener des activités malveillantes, dont : des attaques de déni de service, la distribution de maliciels et des opérations de hameçonnage HameçonnageProcédé par lequel une tierce partie tente de solliciter de l’information confidentielle appartenant à un individu, à un groupe ou à une organisation en les mystifiant ou en imitant une marque commerciale connue dans le but de réaliser des gains financiers. En l’occurrence, les malfaiteurs incitent les utilisateurs à partager leurs renseignements personnels (numéros de carte de crédit, informations bancaires ou autres renseignements) afin de s’en servir pour commettre des actes frauduleux. et de « porteurs d’argent ».

L’effort coopératif mondial visant à démanteler l’infrastructure du réseau Avalanche a exigé une des plus grandes opérations faisant appel à des puisards jamais organisée, plus de 800 000 domaines ayant été bloqués/saisis/transformés en puisard. Le réseau Avalanche utilisait la technique de DNS à mutation rapide double pour tenter de se cacher, agissant comme infrastructure de commande et contrôle pour de multiples familles de maliciels, y compris :

• Windows-encryption Trojan horse (WVT) (alias Matsnu, Injector, Rannoh, Ransomlock.P)
• URLzone (alias Bebloh)
• Citadel
• VM-ZeuS (alias KINS)
• Bugat (alias Feodo, Geodo, Cridex, Dridex, Emotet)
• newGOZ (alias GameOverZeuS)
• Tinba (alias TinyBanker)
• Nymaim/GozNym
• Vawtrak (alias Neverquest)
• Marcher
• Pandabanker
• Ranbyus
• Smart App
• TeslaCrypt
• Trusteer App
• Xswkit
• TeslaCrypt
• Corebot
• GetTiny
• Rovnix
• QakBot (alias Qbot, PinkSlip Bot)

La Gendarmerie royale du Canada a mené l’effort d’application de la loi au Canada, avec l’aide du Centre canadien de réponse aux incidents cybernétiques pour la notification des victimes canadiennes et l’application de mesures correctives.

Mesures Recommandées

Étant donné que le réseau de zombies Avalanche est associé à plusieurs familles de maliciels et à tout un éventail d’activités malveillantes, l’identification des compromissions et/ou des infections peut exiger différentes mesures rigoureuses.

Le CCRIC recommande aux organisations d’examiner les renseignements d’atténuation/mesures de prévention ci-dessous et d’en envisager la mise en œuvre dans le contexte de leur environnement de réseau.

• Utilisez des outils anti-maliciels dans vos biens et/ou votre infrastructure. Vous devriez chercher à obtenir des outils permettant de détecter/d’identifier les infections et de les corriger/éliminer. Le CCRIC n’approuve/ne recommande aucun produit/fournisseur particulier. Les outils anti-maliciels doivent être maintenus et gardés à jour, et toutes les données/tous les logiciels téléchargés dans votre infrastructure doivent être vérifiés avant d’être exécutés/ouverts.
• Utilisez un plan de sauvegarde et de récupération des données pour toute l’information critique. Faites et testez des sauvegardes périodiques pour limiter l’impact de la perte des données ou des systèmes et pour accélérer le processus de reprise. Étant donné que les lecteurs de réseau peuvent aussi être touchés, ces données devraient être conservées dans un appareil distinct et les copies de sauvegarde devraient être stockées hors-ligne.
• Utilisez des listes blanches d’applications pour aider à prévenir l’exécution de logiciels malveillants et non approuvés. Les listes blanches d’applications sont parmi les meilleures stratégies de sécurité qui soient, car elles permettent seulement l’exécution de programmes particuliers et de bloquer tous les autres, y compris les logiciels malveillants.
• Tenez votre système d’exploitation et vos logiciels à jour en appliquant les tout derniers correctifs. Les applications et les systèmes d’exploitation vulnérables sont la cible de la plupart des attaques. En s’assurant d’installer les tout derniers correctifs, on réduit considérablement le nombre de points d’accès exploitables qu’un attaquant peut utiliser.
• Limitez la capacité des utilisateurs (permissions) d’installer et d’exécuter des applications indésirables et appliquez le principe du « privilège minimal » à tous les systèmes et services. En limitant ces privilèges, vous pourriez empêcher des maliciels de s’exécuter ou limiter leur capacité de s’étendre dans le réseau.
• Évitez d’activer les macros des pièces jointes aux courriels. Si un utilisateur ouvre la pièce jointe et autorise les macros, le code intégré exécute le maliciel dans l’ordinateur. Pour les entreprises et les organisations, il serait peut-être préférable de bloquer les courriels contenant des pièces jointes provenant de sources suspectes.
• Adoptez des pratiques sécuritaires lorsque vous naviguez dans le Web.
• Ne cliquez jamais sur des liens dans des courriels non sollicités.

Il est important de souligner que les infections peuvent être dévastatrices pour une personne ou une organisation, et que la reprise des activités peut être un processus difficile, pouvant exiger les services d’un spécialiste réputé en récupération de données.

Références :

Communiqué de presse d’Europol :
https://www.europol.europa.eu/newsroom/news/%E2%80%98avalanche%E2%80%99-network-dismantled-in-international-cyber-operation

Information de l’EIUI des É.-U. sur le réseau Avalanche :
http://us-cert.gov/avalanche

Information de Shadowserver sur le réseau Avalanche :
http://blog.shadowserver.org/2016/12/01/avalanche/

Rapport technique du CCRIC TR11-001 (Guide de rétablissement à la suite d’une infection par un logiciel malveillant) :
https://www.securitepublique.gc.ca/cnt/rsrcs/cybr-ctr/2011/tr11-001-fr.aspx