La red de ciberdelincuencia ‘AVALANCHA’ desmantelada en operación internacional

El 30 de noviembre de 2016, después de más de cuatro años de investigación, el Ministerio Público Oficina de Verden y la Policía Lüneburg (Alemania), en estrecha cooperación con la Oficina del Fiscal Federal para el Distrito Oeste de Pennsylvania, el Departamento de Justicia y el FBI, Europol, Eurojust y socios globales, desmantelaron una plataforma internacional de infraestructura criminal conocida como ‘Avalancha’.

Plataforma de malware

La red Avalancha se utilizó como plataforma de lanzamiento para lanzar y gestionar ataques masivos de malware global y campañas de reclutamiento de “mulas”. Ha causado un estimado de 6 millones de euros en daños en ataques concentrados en los sistemas bancarios en línea en Alemania. Además, las pérdidas monetarias asociadas con los ataques de malware realizados a través de la red Avalanche se calculan en cientos de millones de euros en todo el mundo, aunque los cálculos exactos son difíciles debido al alto número de familias de malware gestionadas a través de la plataforma.

El esfuerzo global para eliminar esta red implicó el apoyo crucial de fiscales e investigadores de 30 países. Como resultado, se detuvo a 5 personas, se registraron 37 locales y se incautaron 39 servidores. Las víctimas de las infecciones por malware fueron identificadas en más de 180 países. Además, 221 servidores se pusieron fuera de línea a través de notificaciones de abuso enviadas a los proveedores de alojamiento. La operación no tiene precedentes en su escala, con más de 800 000 dominios incautados o bloqueados.

En la jornada de acción, Europol acogió un puesto de mando en su sede en La Haya. A partir de ahí, los representantes de los países participantes trabajaron juntos con el de Europol Centro Europeo de Ciberdelincuencia (EC3) y funcionarios de Eurojust para garantizar el éxito de una operación de este tipo a gran escala.

Además, Europol apoyó a las autoridades alemanas durante toda la investigación ayudando a identificar a los sospechosos y al intercambio de información con otras autoridades encargadas de hacer cumplir la ley. Los expertos en delincuencia cibernética de Europol produjeron y suministraron productos analíticos.

Declaraciones de los expertos

El experto nacional en materia de cibercriminalidad de Eurojust ayudó a aclarar las difíciles cuestiones jurídicas que surgieron durante la investigación. También se celebraron varias reuniones operativas y de coordinación tanto en Europol como en Eurojust.

Julian King, Comisario Europeo de la Unión de Seguridad, dijo: “La avalancha muestra que sólo podemos tener éxito en la lucha contra el delito cibernético cuando trabajamos en estrecha colaboración, a través de sectores y fuera de fronteras. Para combatir los métodos criminales que evolucionan continuamente y que la UE contribuye a garantizar que se establezcan los marcos jurídicos adecuados para permitir dicha cooperación a diario “.

Rob Wainwright, Director de Europol, declaró: “Avalancha ha sido una operación de gran importancia en la que participaron agentes de la ley, fiscales y recursos de la industria para hacer frente a la naturaleza global de la ciberdelincuencia. El complejo carácter transnacional de las investigaciones cibernéticas requiere la cooperación internacional entre organizaciones públicas y privadas a un nivel sin precedentes para impactar con éxito a los ciberdelincuentes de alto nivel. Avalancha ha demostrado que mediante esta cooperación podemos hacer colectivamente de Internet un lugar más seguro para nuestros negocios y ciudadanos”.

Michèle Coninsx, Presidenta de Eurojust, ha declarado: “Hoy es un momento importante en la lucha contra el cibercrimen organizado y ejemplifica la importancia práctica y estratégica de Eurojust en el fomento de la cooperación internacional. Junto con las autoridades alemanas y estadounidenses, nuestros socios europeos e internacionales, y con el apoyo de Eurojust y EC3, Avalancha, una de las infraestructuras de botnet más grandes y maliciosas del mundo, ha sido neutralizada de manera decisiva en uno de los mayores derribos hasta la fecha “.

Operativo desde 2009

Los grupos criminales han estado utilizando la infraestructura Avalancha desde 2009 para conducir actividades de malware, phishing y spam. Enviaron más de 1 millón de correos electrónicos con anexos dañinos o enlaces cada semana a víctimas desprevenidas.

Las investigaciones se iniciaron en 2012 en Alemania, después de que un ransomware cifrado (el llamado cifrado de Windows Troya), infectó a un número sustancial de los sistemas informáticos, bloqueando el acceso de los usuarios. Millones de sistemas informáticos privados y comerciales también estaban infectados con malware, permitiendo a los delincuentes que operan la red recolectar contraseñas bancarias y de correo electrónico.

Con esta información, los criminales pudieron realizar transferencias bancarias de las cuentas de las víctimas. Los fondos fueron luego redirigidos a los delincuentes a través de un flujo rápido de infraestructura, que fue creado específicamente para asegurar el producto de la actividad delictiva.

La pérdida de algunos de los componentes de la red se evitó con la ayuda de su sofisticada infraestructura, redistribuyendo las tareas de los componentes interrumpidos a servidores de ordenadores inactivos. Se calcula que la red Avalancha involucra a más de 500.000 computadoras infectadas en todo el mundo a diario.

Lo que hizo que la infraestructura Avalancha fuera especial era el uso de la denominada técnica de doble flujo rápido. La compleja configuración de la red fue muy popular entre los ciberdelincuentes, debido a la técnica de doble flujo rápido que ofrece una mayor resiliencia a los derribos y acciones de aplicación de la ley.

Las campañas de malware que se distribuyeron a través de esta red incluyen alrededor de 20 familias de malware diferentes, como goznym, marcher, matsnu, urlzone, xswkit y pandabanker. Involucraron también redes altamente organizadas de “mulas” que compraron bienes con fondos robados, permitiendo a los ciberdelincuentes lavar el dinero que adquirieron a través de los ataques de malware u otros medios ilegales.

En la preparación de esta acción conjunta, la Oficina Federal Alemana para la Seguridad de la Información (BSI) y el Fraunhofer-Institut für Kommunikation, Informationsverarbeitung und Ergonomie (FKIE) analizaron más de 130 TB de datos capturados e identificaron la estructura del servidor de la red de bots, permitiendo el cierre de miles de servidores y, efectivamente, el colapso de toda la red criminal.

El derribo exitoso de esta infraestructura de servidor contó con el apoyo de la INTERPOL, la Fundación Shadowserver, Registrador de último recurso, la ICANN y los registros de dominio participa en la fase de desmontaje. INTERPOL también ha facilitado la cooperación con los registros de dominios. Varios socios antivirus brindaron apoyo en relación con la remediación de víctimas.
Los usuarios de ordenadores deben tener en cuenta que esta acción va a hacer cumplir la ley pero no limpia el malware de todos los equipos infectados -se limita a negar ‘capacidad de comunicarse con las víctimas infectadas de los usuarios de ordenadores de Avalancha. Las computadoras de las víctimas de las avalanchas todavía estarán infectadas, pero protegidas del control criminal.