执法机关捣毁了至少17种恶意软件共同使用的基础设施,使Avalanche恶意软件主机网络遭受重创。这次捣毁行动的由多个国际执法机构、检察部门,以及包括赛门铁克的多家网络安全及信息技术机构共同参与,没收了Avalanche 网络幕后犯罪组织的39台服务器和几十万个域名。
在2012年,赛门铁克发布了有关执法机关勒索软件的研究资料。这种勒索软件是当时占据主导地位的恶意软件,许多网络攻击者团伙均使用这种软件来攻击各个国家。我们的研究资料还指出了网络犯罪团伙所针对的主要国家。其中有一个使用勒索软件Trojan.Ransomlock.P的网络犯罪团伙,其将主要目标瞄准在德国、奥地利和瑞士部分的母语为德语的人士。
此份研究资料还指出这种勒索软件至少使用一台以上的命令和控制(C&C)服务器,而且使用这种服务器的还有称为“Trojan.Bebloh”或“URLZone”的恶意软件。Bebloh是一种银行木马,这种木马在那时所攻击的目标与Trojan.Ransomlock.P相同,即在德国、奥地利和瑞士部分的母语为德语的人士。在2012年此份研究资料发表的时候,德国伦伯格(Luneberg)镇一队警员和德国韦尔登(Verden)镇检察官办公室正对Bebloh展开调查。考虑到这两种恶意软件共同分享网络基础设施,他们认为这两组活动之间存在着某种联系。
在调查的早期阶段,赛门铁克为德国的警员们提供了技术支持,即对恶意软件实行了逆向工程,并识别了恶意基础设施。我们还发现,很多其他种类的恶意软件也在使用着相同的C&C基础设施。随后,伦伯格的警员们开始展开对这些种恶意软件的调查。
警员们调查发现很多种恶意软件均寄存在称为“Avalanche”的僵尸网络之上。这是一个由受感染计算机组成的网络,可进行出租,以促进C&C基础设施执行不同角色的工作。
在随后的几年里,德国伦伯格镇警察局和韦尔登镇检察官办公室与BSI、FKIE、BFK,以及其他很多执法机构和业界伙伴共同对Avalanche展开持续调查,并发现了一场在全世界范围内控制大量受感染计算机的大规模行动。
此次调查在昨天(11月30日)进入白热化,执法机关捣毁了为至少17种恶意软件提供支持的基础设施,并抓捕了参与该活动的多名嫌疑犯。
德国伦伯格镇警员和韦尔登镇检察官办公室的这次调查行动硕果累累,是将一队经验丰富的执法人员的执着与政府、学术界和私营企业的协助相融合,最终有效打击网络犯罪的最佳例证。赛门铁克很荣幸能在这次行动中添油加力。我们将按照需要在未来的调查中继续为相关执法机关提供技术支持。
赛门铁克和诺顿产品为用户提供保护,使用户免受与Avalanche僵尸网络相关恶意软件的影响。
诺顿强力清除器(NPE)工具也可以扫描并删除与Avalanche相关的病毒。如果用户很难对病毒加以删除,则应在安全模式下运行NPE。