Cerveau présumé du réseau cybercriminel Avalanche, un trentenaire vient d'être interpellé par les autorités ukrainiennes à Kiev. Gennady Kapkanov avait déjà été arrêté en novembre 2016 lors d'un raid policier dans la ville de Poltava. Rapidement libéré à l'époque pour vice de procédure, il faisait l'objet d'un mandat d'arrêt international.
Dans le cadre d'une opération menée en collaboration entre les autorités américaines et européennes d'une trentaine de pays, le botnet Avalanche avait été démantelé fin 2016. Une opération qui avait abouti à la saisie de 39 serveurs et la déconnexion de 221 autres. Plus de 800 000 noms de domaine avaient également été saisis, bloqués ou utilisés pour rediriger les victimes infectées vers des serveurs contrôlés par les autorités.
Apparu à la toute fin 2008, Avalanche était conçu comme un environnement Cloud loué à des cybercriminels. Il a fait des victimes dans plus de 180 pays. Son infrastructure a été utilisée pour mener des attaques par malware, du phishing et du spam. Par jour, le botnet Avalanche pouvait compter un demi-million d'ordinateurs infectés.
Avalanche a permis de distribuer une vingtaine de malwares différents, dont des ransomwares et chevaux de Troie bancaires, en plus de servir d'infrastructure de communication pour d'autres botnets. Lors de l'annonce du démantèlement, Europol avait indiqué que Avalanche était responsable de dommages à hauteur de 6 millions d'euros pour la seule industrie bancaire allemande.
La plateforme s'appuyait sur un imposant maillage de serveurs proxy et une technique de double fast flux.
" Les ordinateurs zombies qui forment le réseau remplissent la fonction de serveur mandataire (ndlr : proxy). Les victimes ne peuvent donc pas accéder directement aux serveurs qui hébergent et alimentent les logiciels malveillants ni savoir d'où ils proviennent. Cette mesure de dissimulation supplémentaire permet aux pirates d'assurer la pérennité de leur infrastructure ", explique ESET.