Non classé

La police française a retiré à distance le logiciel malveillant RETADUP de 850 000 ordinateurs infectés – Les meilleures astuces pour son serveur

Le 28 août 2019 - 5 minutes de lecture

RETADUP Malware botnet

La police nationale française, la gendarmerie nationale, aujourd’hui annoncé l'élimination réussie de l'un des plus grands, largement dispersé RETADUP logiciel malveillant pour botnet et comment il a désinfecté à distance plus de 850 000 ordinateurs dans le monde avec l'aide de scientifiques.

Plus tôt cette année, des chercheurs en sécurité du groupe antivirus Avast, qui surveillait activement les activités du botnet RETADUP, ont découvert une faille dans la conception du protocole C & C des logiciels malveillants, qui pourrait être exploitée pour supprimer les logiciels malveillants des ordinateurs des victimes sans exécuter de code supplémentaire.

Pour ce faire, les responsables du projet devaient toutefois contrôler le serveur C & C du programme malveillant, hébergé par un fournisseur hôte situé dans la région Île-de-France, dans le centre-nord de la France.

C'est pourquoi les scientifiques ont contacté le Centre de lutte contre la cybercriminalité (C3N) de la gendarmerie nationale française à la fin du mois de mars de cette année, ont partagé leurs découvertes et suggéré un plan secret pour mettre fin au virus RETADUP et protéger les victimes.

Selon le plan proposé, les autorités françaises prenaient le contrôle du serveur RETADUP C & C en juillet et le remplaçaient par un serveur de désinfection préparé qui abusait de la faille de conception du protocole et ordonnait l'autodestruction des instances associées au programme malveillant RETADUP sur des ordinateurs infectés.

"Dans la première seconde de son activité, plusieurs milliers de robots l'ont connecté pour récupérer des commandes du serveur. Le serveur de désinfection les a répondues et désinfectées, abusant des défauts de conception du protocole C & C", expliquent les chercheurs dans un blog publié aujourd'hui.

"Au moment de la publication de cet article, la collaboration avait neutralisé plus de 850 000 infections uniques de RETADUP."

Selon Jean-Dominique Nollet, chef du service national de renseignements criminels de la gendarmerie nationale, les autorités vont garder le serveur de désinfection en ligne pendant quelques mois, car certains ordinateurs infectés n'ont pas encore établi de connexion avec le serveur C & C contrôlé par la police – certains ont été déconnectés. depuis juillet, alors que d'autres ont des problèmes de réseau.

Programme de re-démarrage

La police française a également contacté le FBI après avoir découvert des éléments de l'infrastructure de C & C de RETADUP aux États-Unis. Le FBI les a ensuite supprimés le 8 juillet, laissant les auteurs de malwares hors de contrôle des robots.

"Etant donné qu'il incombait au serveur C & C de fournir des travaux miniers aux robots, aucun d'entre eux n'avait de nouveau travail dans le secteur minier après ce retrait", ont déclaré les chercheurs. "Cela signifiait qu'ils ne pourraient plus épuiser la puissance de calcul de leurs victimes et que les auteurs malveillants ne tireraient plus aucun profit de l'exploitation minière".

Fondé en 2015 et principalement constitué d’ordinateurs infectés en Amérique latine, RETADUP est un malware Windows multifonctionnel capable de récupérer des cryptomonnaies en utilisant la puissance de calcul d'ordinateurs infectés, une infrastructure ciblée par DDoSing utilisant la bande passante des victimes, et recueillir des informations pour l'espionnage.

Il existe plusieurs variantes de RETADUP, dont certaines sont écrites dans Autoit ou à l'aide d'AutoHotkey. Le logiciel malveillant est conçu pour durer sur les ordinateurs Windows, installer des charges utiles supplémentaires sur les ordinateurs infectés et effectuer périodiquement d'autres tentatives de propagation.

Programme de re-démarrage

En plus de la distribution de malwares de type crypto-monnaie sous forme de charge utile, il a également été constaté que RETADUP répandait Stop ransomware et que le mot de passe Arkei volait dans certains cas.

"Le serveur C & C contenait également un contrôleur .NET pour un AutoIt RAT appelé HoudRat. En regardant des exemples de HoudRat, il est clair que HoudRat est juste une variante de Retadup plus riche en fonctionnalités et moins répandue", ont appris les chercheurs ont analysé le serveur C & C saisi.

"HoudRat est capable d'exécuter des commandes arbitraires, d'enregistrer des frappes au clavier, de prendre des captures d'écran, de voler des mots de passe, de télécharger des fichiers arbitraires et plus encore."

Au moment de la publication de cet article, les autorités avaient neutralisé plus de 850 000 infections uniques à Retadup, la plupart des victimes étant originaires de pays hispanophones d'Amérique latine.

Commentaires

Laisser un commentaire

Votre commentaire sera révisé par les administrateurs si besoin.