Polícia Francesa remove remotamente o Malware RETADUP de 850.000 PCs Infectados

A agência francesa de defesa da lei, National Gendarmerie, anunciou hoje a remoção bem-sucedida de um dos maiores malwares de rede de bots RETADUP e como desinfectou remotamente mais de 850.000 computadores em todo o mundo com a ajuda de pesquisadores.

No início deste ano, pesquisadores de segurança da Avast, que estavam monitorando ativamente as atividades da botnet RETADUP, descobriram uma falha de design no protocolo C & C do malware que poderia ter sido explorada para remover o malware do computador das vítimas sem executar nenhum código extra.

No entanto, para fazer isso, o plano exigiu que os pesquisadores tivessem controle sobre o servidor C & C do malware, hospedado com um provedor de hospedagem localizado na região de Ile-de-France, no centro-norte da França.

Portanto, os pesquisadores contataram o Centro de Luta contra o Cibercrime (C3N) da Gendarmaria Nacional Francesa no final de março deste ano, compartilharam suas descobertas e propuseram um plano secreto para pôr fim ao vírus RETADUP e proteger as vítimas. De acordo com o plano proposto, as autoridades francesas assumiram o controle do servidor RETADUP C & C em julho e o substituíram por um servidor de desinfecção preparado que abusou da falha de projeto em seu protocolo e comandou as instâncias conectadas do malware RETADUP nos computadores infectados para se autodestruírem.

“No primeiro segundo de sua atividade, vários milhares de bots se conectaram a ele para buscar comandos do servidor. O servidor de desinfecção respondeu a eles e desinfectou-os, abusando da falha de projeto do protocolo C & C”, explicam os pesquisadores em um post no blog. publicado hoje.

“No momento da publicação deste artigo, a colaboração neutralizou mais de 850.000 infecções únicas da RETADUP.”

De acordo com Jean-Dominique Nollet , chefe do Serviço Nacional de Inteligência Criminal da Gendarmerie Nationale, as autoridades manterão o servidor de desinfecção online por mais alguns meses, pois alguns computadores infectados ainda não fizeram conexão com o servidor de C & C controlado pela polícia – alguns está offline desde julho, enquanto outros têm problemas de rede.

A polícia francesa também entrou em contato com o FBI depois de encontrar algumas partes da infraestrutura de C & C da RETADUP nos Estados Unidos. O FBI, em seguida, os derrubou em 8 de julho, deixando os autores de malware sem controle sobre os bots.

“Como era responsabilidade do servidor C & C dar trabalhos de mineração aos bots, nenhum dos bots recebeu novos trabalhos de mineração após a queda”, dizem os pesquisadores. “Isso significava que eles não podiam mais drenar o poder computacional de suas vítimas e que os autores de malware não recebiam mais nenhum ganho monetário da mineração”.

Criado em 2015 e principalmente infectado computadores em toda a América Latina, o RETADUP é um malware multifuncional do Windows que é capaz de minerar criptomoedas usando o poder computacional das máquinas infectadas, D44Sing direcionando a infraestrutura utilizando a largura de banda das vítimas e reunindo informações para espionagem.

Existem várias variantes de RETADUP, algumas das quais foram escritas em Autoit ou usando AutoHotkey. O malware foi projetado para atingir a persistência em computadores Windows, instalar cargas adicionais de malware em máquinas infectadas e também realizar periodicamente outras tentativas de se espalhar.

Além de distribuir malware criptomoeda como carga útil, o RETADUP, em alguns casos, também foi encontrado espalhando o Stop ransomware e o ladrão de senhas Arkei.

“O servidor C & C também continha um controlador .NET para um RAT AutoIt chamado HoudRat. Olhando para amostras do HoudRat, está claro que o HoudRat é apenas uma variante do Retadup mais rica em recursos e menos prevalente”, os pesquisadores aprenderam depois de analisar Servidor C & C.

 

“O HoudRat é capaz de executar comandos arbitrários, registrar as teclas digitadas, capturar imagens, roubar senhas, baixar arquivos arbitrários e muito mais.”

No momento da publicação deste artigo, as autoridades neutralizaram mais de 850.000 infecções únicas de Retadup, com a maioria das vítimas sendo de países de língua espanhola na América Latina.