Ministero dello Sviluppo Economico

CERT Nazionale Italia - Computer Emergency Response Team

MalwareMinacce

Smantellata la botnet Andromeda

Andromeda  Avalanche  botnet  Gamarue   mercoledì, 6 dicembre 2017

Il 29 novembre 2017, al culmine di una vasta operazione internazionale che ha visto la stretta collaborazione del Federal Bureau of Investigation (FBI), l’Ispettorato centrale per le indagini criminali di Lüneburg in Germania, lo European Cybercrime Centre di Europol (EC3), la Joint Cybercrime Action Task Force (J-CAT), Eurojust e alcuni partner del settore privato, tra cui Microsoft, è stata smantellata la botnet Andromeda, nota anche come Gamarue, una delle infrastrutture per la distribuzione di malware più longeve finora individuate.

Attiva fin dal 2011, Andromeda è stata infatti associata nel tempo a 80 diverse tipologie di malware, tra cui:

  • Petya (ransomware)
  • Cerber (ransomware)
  • Troldesh (ransomware)
  • Ursnif (trojan bancario e per il furto di informazioni)
  • Carberp (trojan bancario e per il furto di informazioni)
  • Fareit (malware per DDoS e furto di informazioni)
  • Kasidet (worm e malware per DDoS)
  • Lethic (spam bot)
  • Cutwail (spam bot)
  • Neurevt (malware che genera clic fraudolenti)
  • Fynloski (backdoor)

Stando a quanto riportato da Microsoft, negli ultimi sei mesi è stata rilevata o bloccata una media di più di un milione di macchine infette ogni mese. Tra le nazioni più colpite figurano India, Indonesia, Turchia, Filippine, Messico, Pakistan, Brasile, Iran, Vietnam e Tailandia.

Andromeda è stata anche utilizzata nella famigerata rete Avalanche, che è stata smantellata alla fine del 2016. Le informazioni acquisite delle forze dell’ordine tedesche durante le investigazioni su Avalanche, condivise con Europol ed FBI, hanno contribuito alle indagini condotte nell’arco di quest’anno che hanno portato alla soppressione di Andromeda.

I partner internazionali hanno agito di concerto con azioni mirate a disattivare server e domini utilizzati per diffondere il malware Andromeda. Complessivamente, 1500 domini diversi sono stati oggetto di sinkholing. Secondo i dati diffusi da Microsoft, in sole 48 ore sono stati intercettati con questa tecnica circa 2 milioni di indirizzi IP riconducibili a vittime di Andromeda distribuite in 223 paesi diversi.

Allo stesso tempo, le azioni di contrasto condotte dalle autorità tedesche per il caso Avalanche sono state prorogate di un altro anno. Questa ulteriore misura è stata resa necessaria dal fatto che il 55% dei sistemi informatici originariamente compromessi da Avalanche risulta ad oggi ancora infetto.

Le azioni di contrasto al malware Andromeda e l’estensione di quelle contro Avalanche hanno coinvolto i seguenti Paesi membri dell’UE: Austria, Belgio, Finlandia, Francia, Italia, Paesi Bassi, Polonia, Regno Unito, Spagna. Hanno partecipato inoltre i seguenti Paesi non-UE: Australia, Bielorussia, Canada, Montenegro, Singapore e Taiwan.

L’operazione è stata supportata dai seguenti partner privati ​​e istituzionali: Shadowserver Foundation, Microsoft, Registrar of Last Resort (RoLR), Internet Corporation for Assigned Names and Numbers (ICANN), Fraunhofer Institute for Communication, Information Processing and Ergonomics (FKIE) e l’Ufficio federale tedesco per la sicurezza informatica (BSI).

L’operazione è stata coordinata dal posto di comando ospitato nel quartier generale di Europol.

Per ulteriori approfondimenti è possibile consultare le fonti seguenti (in Inglese):

Notizie correlate

La botnet Torii prende di mira una vasta gamma di dispositivi IoT

28 settembre 2018

I ricercatori di Avast hanno pubblicato i risultati dell'analisi di una nuova botnet IoT denominata Torii, che presenta caratteristiche tecniche molto avanzate.Leggi tutto

Incremento degli attacchi verso sistemi ERP

27 luglio 2018

È stato di recente rilevato un forte incremento di tentativi di attacco rivolti a tecnologie ed applicazioni ERP (Enterprise Resource Planning).Leggi tutto

Wicked: scoperta nuova variante della botnet Mirai

18 maggio 2018

Il team di ricerca di Fortinet Labs ha individuato una nuova variante del bot Mirai, battezzata Wicked.Leggi tutto