Une bonne nouvelle pour 2017, c’est le démantèlement d’un puissant botnet qui oeuvrait sur le net depuis 2011. Baptisé Andromeda, ce programme, qui sévissait dans pas moins de 223 pays, infectant des millions de machines à travers le monde, à été démantelé grâce à la collaboration de plusieurs organismes, dont le FBI et Interpol. Une menace en moins pour les entreprises ! InformatiquePME vous propose un éclairage sur les méfaits de ce botnet et son démantèlement.
Un Botnet, qu’est-ce que c’est ?
Andromeda, parfois appelé Wauchos ou Gamarue était un botnet parmi d’autres présents sur la toile, c’est à dire un programme informatique généré par un ou des pirates, qui, à l’aide d’un malware, infecte un grand nombre de machines pour pouvoir ensuite les contrôler à distance.
Andromeda, un botnet puissant
En ligne depuis 2011, Andromeda faisait des ravages de part sa commercialisation parmi les pirates du web. Très discret et très malin, les malwares proposés par le botnet Andromeda venaient se faufiler dans des processus tout à fait légitime du système Windows pour passer totalement inaperçu. Pour aller encore plus loin, Andromeda était même capable de désactiver des systèmes pare-feu ou certaines mises à jour automatiques pouvant l’empêcher d’opérer comme bon lui semblait.
Des pièges par dizaines
Le botnet donnait accès à près de 80 familles de malwares différents (ransomwares, chevaux de Troie, diffuseurs de spams, etc.), comme par exemple :
- Keylogger, pour 150 $, qui permettait d’enregistrer les frappes du clavier de l’ordinateur visé ;
- Formgrabber, pour 250 $, qui permettait d’intercepter des données web ;
- Une faille dans Teamviewer, pour 250 $ également, permettait quant à elle de prendre le contrôle complet de l’ordinateur visé…
Une diffusion étendue
Depuis 2011, Andromeda avait su se diversifier et sa diffusion était devenue multiple et de plus en plus ingénieux. Ainsi, e-mails piégés typiques faisaient partie de la liste. Il existait également des liens piégés postés sur les réseaux sociaux, des sites piégés, des chevaux de Troie, etc.
La dernière nouveauté qui avait fait des ravages consistait à une infection se propageant par clés USB.
Des pirates en moins sur la toile !
Le FBI, Europol, Eurojust, Microsoft, Eset et la police de Lüneburg ont oeuvré ensemble pour mener à bien un démantèlement qui a permis de venir à bout de ce qui était considéré comme l’un des plus grands botnets de la toile.
C’est donc le monde entier qui n’a plus à se soucier des machines zombies provenant de ce botnet qui avait jusqu’à ce jour infecté des millions d’ordinateurs au travers le monde.
Comment ont-ils fait pour les piéger ?
Une faille a été repérée lors de la lutte contre ce nid à malware. En effet, le botnet était programmé de tel sorte qu’il vérifiait la provenance du PC sur lequel il était installé. Ainsi, si celui-ci était russe, biélorusse, kazakh ou ukrainien, le logiciel ne s’installait pas. Un indice qui a permis de détecter une forte probabilité quant à la provenance des pirates se cachant derrière Andromeda et a permis à l’arrestation d’un suspect en Biélorussie.
Les malwares ne s’installaient pas non plus si un logiciel d’analyse malware ou un antivirus étaient repérés.
Les victimes touchées
Ce ne sont pas moins de 223 pays dans lesquelles Andromeda a fait des dégâts. En effet, Microsoft, qui a participé à l’opération de démantèlement du botnet, a été en mesure d’identifier la provenance d’un certain nombre d’adresses IP des victimes : c’est-à-dire près de 2 millions de personnes.
Côté pirates, ce sont près de 1200 domaines et adresses IP qui ont été bloqués. Les serveurs identifiés semblaient permettre de gérer près de 500 botnets dans le monde.
Avec le démantèlement de ce botnet, on peut donc considérer l’internet désormais plus sûr… même si la démultiplication de ce type de menaces peut nous laisser penser que le répit sera de courte durée !