Французская полиция удаленно удалила вредоносное ПО RETADUP с 850 000 зараженных компьютеров

Французская полиция удаленно удалила вредоносное ПО RETADUP с 850 000 зараженных компьютеров

Французское правоохранительное агентство National Gendarmerie объявило об успешном уничтожении одной из крупнейших и широко распространенных вредоносных программ бот -сети RETADUP и о том, как оно дистанционно вылечило более 850 000 компьютеров по всему миру с помощью исследователей.

Ранее в этом году исследователи безопасности в антивирусной компании Avast, которые активно следили за действиями ботнета RETADUP, обнаружили конструктивный изъян в протоколе C & C вредоносного ПО, которое могло быть использовано для удаления вредоносного ПО с компьютера жертвы без выполнения какого-либо дополнительного кода.

Однако для этого план требовал, чтобы исследователи контролировали сервер C & C вредоносного ПО, который размещался у хостинг-провайдера, расположенного в регионе Иль-де-Франс на севере центральной части Франции.

Поэтому исследователи связались с Центром борьбы с киберпреступностью (C3N) Французской национальной жандармерии в конце марта этого года, поделились своими выводами и предложили секретный план, чтобы положить конец вирусу RETADUP и защитить жертв. Согласно предлагаемому плану, французские власти взяли под контроль сервер RETADUP C & C в июле и заменили его подготовленным сервером дезинфекции, который воспользовался ошибкой разработки в своем протоколе и приказал подключенным экземплярам вредоносного ПО RETADUP на зараженных компьютерах выполнить самоуничтожение.

«В первую же секунду своей активности к нему подключилось несколько тысяч ботов для получения команд с сервера. Сервер дезинфекции ответил на них и вылечил их, злоупотребляя недостатком дизайна протокола C & C», — объясняют исследователи в своем блоге. опубликовано сегодня.

«На момент публикации этой статьи сотрудничество нейтрализовало более 850 000 уникальных заражений RETADUP».

По словам Жана-Доминика Нолле , главы Национальной службы уголовной разведки в Gendarmerie Nationale, власти будут поддерживать сервер дезинфекции в течение еще нескольких месяцев, поскольку некоторые зараженные компьютеры еще не установили соединение с C & C-сервером, контролируемым полицией, а некоторые был офлайн с июля, в то время как другие имеют проблемы с сетью.

Французская полиция также связалась с ФБР после обнаружения некоторых частей инфраструктуры C & C RETADUP в Соединенных Штатах. Затем ФБР уничтожило их 8 июля, оставив авторов вредоносных программ без контроля над ботами.

«Поскольку ответственность за предоставление майнинговых заданий ботам лежала на сервере C & C, ни один из ботов не получил никаких новых майнинговых заданий для выполнения после этого удаления», — говорят исследователи.

RETADUP, созданная в 2015 году в первую очередь заражала компьютеры по всей Латинской Америке. Представляет собой многофункциональное вредоносное ПО для Windows, способное извлекать криптовалюту с использованием вычислительной мощности зараженных машин, целевой инфраструктуры DDoSing с использованием полосы пропускания жертв и сбора информации для шпионажа.

Существует несколько вариантов RETADUP, некоторые из которых были написаны в Autoit или с использованием AutoHotkey. Вредоносная программа была разработана для обеспечения устойчивости на компьютерах Windows, установки дополнительных вредоносных программ на зараженные машины, а также для периодического выполнения других попыток распространения.

Помимо распространения криптовалютного вредоносного ПО в качестве полезной нагрузки, в некоторых случаях был также обнаружен RETADUP, распространяющий программное обеспечение Stop Ransomware и Arkei Stealer.

«Сервер C & C также содержал контроллер .NET для AutoIt RAT под названием HoudRat. Глядя на образцы HoudRat, становится ясно, что HoudRat — это просто более многофункциональный и менее распространенный вариант Retadup», — выяснили исследователи после анализа изъятого C & C сервера.

«HoudRat способен выполнять произвольные команды, регистрировать нажатия клавиш, делать скриншоты, красть пароли, загружать произвольные файлы и многое другое».

На момент публикации этой статьи власти нейтрализовали более 850 000 уникальных инфекций Retadup, причем большинство жертв было из испаноязычных стран Латинской Америки.

Оригинал

Alt text

Владимир Безмалый

О безопасности и не только