Le « botnet » Andromeda a été démantelé par des autorités internationales

Suite à une collaboration étroite entre ESET et Microsoft, les services du FBI, Interpol et Europol ont mis fin à l’activité du robot « botnet » Andromeda (également connu sous le nom de Gamarue).

Le robot « botnet » Andromeda a été créé en septembre 2011 dans le but de dérober des informations d'identification et de télécharger et d'installer des logiciels malveillant sur les systèmes infectés. Il a infecté des millions de PC et est associé à plus de 80 familles de logiciels malveillants différents.

Andromeda offre plusieurs niveaux de personnalisation, permettant à l'utilisateur de construire et de déployer des plugins personnalisés permettant par exemple de dérober du contenu renseigné dans des formulaires Web ou de compromettre les systèmes affectés. Il est responsable de l'infection de plus d'un million de systèmes dans le monde chaque mois et est distribué via les médias sociaux, les messageries instantanées, par spams, kits d'exploitation, etc.

Les serveurs exécutant le réseau malveillant ont été identifiés par des chercheurs d'ESET, qui ont construit un bot pour communiquer avec le serveur de commande et de contrôle (C&C) de Gamarue. Grâce à cela, ESET et Microsoft ont pu suivre et identifier les serveurs C&C au cours des 18 derniers mois. L'information a ensuite été utilisée pour effectuer le démantèlement de tous les domaines utilisés par les cybercriminels en tant que serveurs C&C.

Les chercheurs d'ESET et Microsoft ont partagé avec les autorités leurs analyses techniques, leurs données statistiques et les domaines des serveurs C&C utilisés par ce botnet.

L’opération a permis d’identifier et de bloquer 1214 domaines et adresses IP de serveurs de commande et contrôle. Ces derniers assuraient la gestion de 464 botnets différents à travers le monde. Selon Microsoft, l’interception des flux de communication a permis d’identifier deux millions d’adresses IP uniques de victimes dans 223 pays. Un suspect a par ailleurs été arrêté en Biélorussie.

Des mesures de lutte contre le logiciel malveillant Andromeda sont toujours en cours en Autriche, Belgique, Espagne, Finlande, France, Italie, Pays-Bas, Pologne, Royaume-Uni, Australie, Bélarus, Canada, Monténégro, Singapour et Taïwan.