Origine e declino di due piattaforme modulari responsabili della creazione e diffusione di alcune delle minacce più temute oggigiorno.
Viviamo in un mondo in cui i malware modulari rappresentano una delle minacce più sofisticate e pervasive.
Se un tempo un attore malevolo impiegava tempo e risorse nella creazione del proprio vettore d’attacco, oggi le cose sono profondamente diverse.
Gli strumenti di attacco si sono trasformati in servizi online accessibili a chiunque. Questi offrono la possibilità di crearsi da sé il malware più adatto alle proprie esigenze, grazie alla combinazione di svariati moduli preimpostati, in maniera facile e veloce. Ma come siamo giunti ad una situazione del genere?
Grazie ad una piattaforma originatasi sul finire dei primi anni 2000.
Il suo nome? Avalanche, a cui seguì pochi anni dopo la sua gemella Andromeda.
Ma come sempre, andiamo con ordine e affrontiamo per gradi l’argomento.
Cos’è stata Avalanche-Andromeda?
Avalanche è stata una delle più grandi e sofisticate piattaforme di distribuzione malware mai scoperte. Resa operativa a partire dal 2009, questa è stata concepita per la distribuzione malware su larga scala e per gestire campagne di phishing. Il suo obiettivo principale era quello di fornire un sistema centralizzato a chiunque richiedesse un servizio completo. Tra le attività illegali che Andromeda forniva ai suoi utenti si citano:
- Diffusione di ransomware;
- Generazione di trojan bancari;
- Creazione e mantenimento di botnet;
La piattaforma impiegava tecniche avanzate per eludere i sistemi di sicurezza. In particolare, mediante il Domain Generation Algorithm (DGA), poteva creare continuamente nuovi domini, garantendo così una certa sicurezza intrinseca per le operazioni malevole condotte da terzi.
Nel tempo Avalanche subì un’evoluzione, divenendo poi conosciuta col nome di Andromeda.
In questa rinnovata veste fu dotata di un nuovo framework, che la rese più flessibile e modulare. Tale transizione dimostrò in breve tempo come tutte le tecniche malevole fossero state ulteriormente perfezionate. Andromeda, infatti, puntava tutto sulla scalabilità e l’adattabilità alle varie situazioni dei nuovi malware. Il nome fu anch’esso tutto un programma, in quanto si trattava di un escamotage dei creatori di distanziarsi dall’attenzione dell’Interpol causata da Avalanche. Nonostante questi cambiamenti, i punti in comune tra le due piattaforme rimasero evidenti, su tutti l’architettura alla base.
Dalle indagini condotte su scala internazionale, si stima che le due piattaforme abbiano distribuito oltre due terzi dei malware globali scoperti tra il 2009 e il 2016. Questo era principalmente dovuto al target di riferimento: criminali informatici inesperti, che cercavano un mezzo rapido e sicuro per commettere illeciti.
Si può quindi affermare che Avalanche-Andromeda sia stata la prima piattaforma a implementare il modello criminale oggi conosciuto come cybercrime-as-a-service.
Come funzionava Avalanche-Andromeda?
Come detto nel paragrafo precedente, Avalanche-Andromeda si distinse nel panorama cybercriminale per l’incredibile architettura alla sua base.
Grazie ad essa era capace di condurre operazioni criminali su larga scala, garantendo ai suoi utenti una protezione totale da possibili intercettazioni.
La sua infrastruttura non era nemmeno localizzata in un punto unico, ma distribuita in più punti su tutto il mondo. Questo perché Avalanche originariamente nasceva come sistema di fast flux hosting, ovvero una piattaforma dotata di proxy temporanei che non solo rendeva difficile il tracciamento, ma anche l’interruzione del flusso di dati. Tutto questo era sostenuto da un’infrastruttura di Command & Control che, sfruttando l’algoritmo DGA, riusciva a resistere ad attacchi esterni.
Con la conseguente evoluzione in Andromeda, la piattaforma divenne un’infrastruttura modulare, con cui i malware potevano essere personalizzati a seconda delle esigenze degli utenti malevoli. Attraverso una serie di plugin, gli affiliati potevano crearsi da sé il proprio malware per condurre attacchi, con la possibilità anche di rivenderlo in seguito. Il tutto corrispondendo una percentuale sul riscatto e sulla vendita ai creatori di Avalance-Andromeda. I plugin in seno alla piattaforma erano essenzialmente:
La chiave del successo vero e proprio si ebbe all’interno dei black market presenti nel dark web, dove l’accesso ad Andromeda era ottenibile per pochi dollari.
Tale strategia permise di raggiungere una vastissima utenza criminale e moltiplicare in poche ore gli introiti del collettivo alle sue spalle. Non è un caso che molti malware e ransomware tutt’ora affrontati si siano originati proprio da essa. Tra quelli più pericolosi ancora attivi oggigiorno, ricordiamo:
- Zeus: malware bancario che sfruttava il plugin form grabber per carpire le credenziali delle proprie vittime;
- Necrus: malware diffuso attraverso campagne di phishing, che fungeva principalmente da backdoor per successivi attacchi ransomware;
- Dridex: trojan bancario diffuso tramite e-mail di phishing, capace di mettere a segno attacchi di tipo man-in-the-browser.
- CryptXXX: ransomware noto per la tattica della doppia estorsione e per l’incredibile capacità di criptazione dei dati personali della vittima;
La fine di Avalance-Andromeda
A seguito delle analisi condotte dagli esperti di sicurezza informatica, emerse l’incredibile similitudine tra l’architetture delle due piattaforme Avalanche e Andromeda. I risultati ottenuti vennero condivisi con Europol, Interpol, FBI e perfino il Dipartimento di Sicurezza Nazionale degli Stati Uniti.
La cooperazione internazionale tra le forze di cybersecurity culminò nel 2016, quando Avalanche-Andromeda venne smantellata in toto. Attraverso un’operazione congiunta, le autorità riuscirono ad arrestare diversi membri chiave del gruppo criminale.
Molti di questi vennero rintracciati in:
- Germania
- Bielorussia
- Bulgaria
suggerendo come il collettivo cybercriminale fosse originario dell’Europa Orientale.
La serie di arresti, una cinquantina in totale, portò di fatto al sequestro e alla chiusura dei server di Avalanche-Andromeda.
Tuttavia, sebbene la rete fu smantellata nel breve tempo, molte minacce nate da essa proliferano ancora oggi. I già citati Zeus, Dridex e CryptXXX continuano tutt’ora a evolversi in varianti sempre più sofisticate, a causa della rivendita del loro codice sorgente ad altri colletivi cybercriminali.
In conclusione
Tirando le somme, il caso Avalanche-Andromeda è un ulteriore reminder di come le tecniche impiegate dai cybercriminali siano in costante evoluzione.
Le piattaforme modulari non solo permettono la diffusione di malware su vasta scala, ma evidenziano i pericoli di un’ecosistema di cybercriminalità interconnesso a livello globale. Nonostante il suo smantellamento, la minaccia rimane comunque viva, a dimostrazione di come si stia combattendo contro la proverbiale Idra di Lerna. Proprio per questo motivo noi utenti dobbiamo sempre mantenere alta la guardia e adottare pratiche di sicurezza rigorose. Solo così potremo difenderci da attacchi sempre più mirati.
- Autore articolo
- Gli ultimi articoli
Classe 1993, ingegnere gestionale e Adobe Certified Professional in Graphic Design & Visual Design. Ho mosso i primi passi nel campo informatico grazie alla passione per i videogiochi, che mi ha portato ad approfondire i motori grafici e la progettazione visiva. Scrivo da quando ero bambino e, con il tempo, la scrittura è diventata parte integrante del mio lavoro nel mondo della comunicazione e della sicurezza informatica.