Botnet Andromeda es desmantelada en operación internacional

04/12/2017

El 29 de Noviembre del 2017, la Oficina Federal de Investigaciones (FBI), en cooperación con el departamento Central de Inspección e Investigación Criminal de Luneburg en Alemania, el Centro Europeo de Cibercrimen de la Europol (EC3), el Grupo de Acción contra el Cibercrimen (J-CAT), Eurojust y empresas del sector privado, desmantelaron una de las familias de malware más grandes que ha existido, llamada Andromeda (también conocida como Gamarue).

De acuerdo con Microsoft, el objetivo de Andromeda era distribuir otras familias de malware. Andromeda se asoció con 80 tipos de familias y en los últimos 6 meses fue detectada y bloqueada de un promedio de 1 millón de equipos cada mes. Andromeda también era utilizada en la famosa red Avalanche, la cual fue desmantelada en una importante ciber operación internacional en 2016.

Steven Wilson, jefe del Centro europeo de Cibercrimen de la Europol comentó: “Este es otro ejemplo sobre la aplicación de la ley internacional trabajando en conjunto con organizaciones de la industria para detener a los atacantes y eliminar la infraestructura utilizada para la distribución del malware de manera global. El mensaje es claro, empresas públicas y privadas trabajando en conjunto pueden detener a los cibercriminales y hacer de Internet un lugar más seguro para todos.”

Un año atrás, el 30 de Noviembre del 2016, después de más de 4 años de investigación, la Fiscalía de Verden, la Policía de Luneburg en Alemania, la Oficina del Fiscal de los Estados Unidos para el Distrito Oeste de Pensilvania, el Departamento de Justicia, el FBI, Europol, Erojust y organizaciones a nivel mundial, habían desmantelado la infraestructura criminal internacional conocida como Avalanche, la cual era utilizada como plataforma para el envío y gestión de malware como Andromeda, donde además se recolectaba dinero para la realización de estas campañas.

La información obtenida durante el caso Avalanche por parte de las autoridades alemanas, fue compartida con distintas entidades, a través de la Europol y junto con la investigación realizada por el FBI durante muchos años, se logró desmantelar Andromeda la semana pasada.

Además de esto, las organizaciones internacionales tomaron acciones en contra de servidores y dominios a través de los cuales se esparcía Andromeda; se detectaron cerca de 1500 dominios que fueron afectados. De acuerdo con Microsoft, durante 48 horas de análisis se detectaron 2 millones de víctimas, con direcciones IP únicas desde 223 países.  Las autoridades involucradas en el caso también realizaron la búsqueda y arresto del sospechoso en Bielorrusia.

Además, las medidas tomadas por Alemania en el caso Avalanche fueron extendidas por otro año. Esa extensión era necesaria, debido a que globalmente 55% de los equipos infectados originalmente por Avalanche siguen infectados hoy en día.

Las medidas para combatir el software malicioso Andromeda fueron las mismas que involucraron a los siguientes países: Austria, Bélgica, Finlandia, Francia, Italia, Holanda, Polonia, España, Reino Unido, Australia, Bielorrusia, Canadá, Montenegro, Singapur, Taiwán.

La operación fue realizada por los siguientes socios institucionales y privados: la Fundación ShawodServer, Microsoft, Registrar of Last Resort, ICANN y organizaciones asociadas al registro de dominios, el Instituto de comunicación Fraunhofer, FKIE y la Oficina Federal Alemana de Seguridad de la Información (BSI).

La operación fue coordinada desde el puesto de comando alojado en la Europol.