Andromeda : un gros diffuseur de malwares démantelé

Le par  |  0 commentaire(s)
Botnet

Au prix d'une opération internationale, le botnet Andromeda a été démantelé. Actif depuis plusieurs années, il a servi à propager au moins 80 familles de malwares.

L'Office européen de police Europol annonce le démantèlement du botnet Andromeda, autrement connu en tant que Gamarue, voire Wauchos. L'opération a été menée en collaboration avec le FBI, Eurojust, les autorités de Lunebourg en Allemagne, et avec la contribution d'acteurs du secteur privé comme ESET et Microsoft.

Le démantèlement a eu lieu le 29 novembre. Des actions ont été prises à l'encontre de serveurs et noms de domaine en lien avec Andromeda pour lui permettre d'œuvrer et s'étendre.

Quelque 1 500 domaines et adresses IP utilisés par les serveurs de contrôle et commande du botnet ont été rendus inefficaces. Andromeda aurait permis la diffusion d'au moins 80 familles de malwares avec des ransomwares de funeste réputation, des chevaux de Troie notamment bancaires, des outils de fraude clic, spam ou pour mener des attaques DDoS.

Selon les données de Microsoft, au cours des six derniers mois (carte ci-dessous), Andromeda - ou Gamarue - a été détecté ou bloqué sur près de 1,1 million de machines chaque mois. Pendant 48 heures lors de l'opération qui a consisté à rediriger le trafic vers des serveurs sous le contrôle des autorités, de l'ordre de 2 millions d'adresses IP de 223 pays ont tenté de joindre des noms de domaine en rapport avec Andromeda.

Microsoft-Gamarue
Considéré comme un botnet HTTP modulaire, Andromeda avait commencé à faire parler de lui dès 2011. Andromeda était par ailleurs également utilisé par le réseau Avalanche qui a été démantelé l'année dernière. Cela a permis de recueillir des indices.

Au fil des années, Andromeda s'est lui-même propagé pour infecter des machines Windows via divers vecteurs d'attaque. Parmi ceux-ci, des clés USB, des emails de spam avec des liens malveillants, des messages avec des liens piégés sur Facebook, des kits d'exploitation.

Avec l'analyse de certains échantillons, ESET a toutefois constaté que la procédure d'infection était interrompue pour des machines en Russie, Ukraine, Biélorussie et au Kazakhstan. Une petite idée sur le pays d'origine des cybercriminels ? Un suspect a été arrête en Biélorussie.

Complément d'information

Vos commentaires

Gagnez chaque mois un abonnement Premium avec GNT : Inscrivez-vous !
Suivre les commentaires
Poster un commentaire
Anonyme