ИБ-эксперты и французская полиция отключили ботнет Retadup

ИБ-эксперты и французская полиция отключили ботнет Retadup

В ходе операции эксперты очистили более 850 тыс. компьютеров от вредоносного ПО.

image

Эксперты компании Avast и сотрудники Центра борьбы с киберпреступностью (C3N) французской жандармерии совместными усилиями отключили инфраструктуру группировки, стоящей за распространением вредоносного ПО Retadup. Специалистам удалось получить доступ к C&C-серверам группировки и очистить более 850 тыс. зараженных вредоносом компьютеров.

Исследователи в течение нескольких месяцев анализировали вредоносную программу и в итоге обнаружили уязвимость в дизайне коммуникационного протокола управляющего сервера, благодаря которой им удалось уничтожить вредонос на компьютерах, отправив соответствующую команду.

Поскольку C&C-серверы Redatup находились во Франции, эксперты обратились к французской полиции. Согласно данным телеметрии, подавляющее большинство зараженных устройств располагалось в Латинской Америке (Венесуэла, Мексика, Боливия, Колумбия, Аргентина, Куба), порядка 35% случаев инфицирования были зафиксированы в Перу. Как отмечается, большинство зараженных устройств работали на базе ОС Windows 7, а на более 85% компьютеров не был установлен антивирус.

Впервые вредонос Retadup был замечен в 2017 году. Ранние версии программы представляли собой простой троян для сбора информации с зараженных устройств. Отличительной чертой данных версий являлось «червеподобное» поведение – троян сохранял вредоносные файлы LNK на общих дисках и таким образом инфицировал другие устройства, на которых открывались эти файлы.

За последние несколько лет операторы вредоноса несколько изменили тактику, добавив функции майнинга криптовалюты. Согласно данным с управляющих серверов, злоумышленники заработали по меньшей мере 53,72 монет Monero (примерно $4,5 тыс.), однако исследователи полагают, что сумма может быть значительно выше.

Подписывайтесь на каналы "SecurityLab" в TelegramTelegram и Яндекс.ДзенЯндекс.Дзен, чтобы первыми узнавать о новостях и эксклюзивных материалах по информационной безопасности.

  • Жандарм и ботнет
Комментарии для сайта Cackle