Clicky

La policía francesa elimina remotamente el malware RETADUP de 850.000 PC infectados

Categoría: Seguridad
Visitas: 872
RETADUP malware

RETADUP es un malware de Windows multifuncional que es capaz de extraer criptomonedas

La agencia de aplicación de la ley francesa, National Gendarmerie, anunció hoy la eliminación exitosa de uno de los programas maliciosos de botnet RETADUP más grandes y cómo desinfectó remotamente más de 850.000 computadoras en todo el mundo con la ayuda de investigadores.

A principios de este año los investigadores de seguridad de la firma antivirus Avast, que estaban monitoreando activamente las actividades de la botnet RETADUP, descubrieron una falla de diseño en el protocolo C&C del malware que podría haber sido explotada para eliminar el malware de la computadora de las víctimas sin ejecutar ningún código adicional.

Sin embargo, para hacer eso, el plan requería que los investigadores tuvieran control sobre el servidor C&C del malware, que estaba alojado con un proveedor de alojamiento ubicado en la región de Ile-de-France en el centro-norte de Francia.

Por lo tanto, a fines de marzo de este año los investigadores se comunicaron con el Centro de Lucha contra el Cibercrimen (C3N) de la Gendarmería Nacional Francesa, compartieron sus hallazgos y propusieron un plan secreto para poner fin al virus RETADUP y proteger a las víctimas.

Según el plan propuesto, en julio las autoridades francesas tomaron el control del servidor RETADUP C&C y lo reemplazaron con un servidor de desinfección preparado que abusó de la falla de diseño en su protocolo y ordenó que se autodestruyeran las instancias conectadas del malware RETADUP en las computadoras infectadas.

"En el primer segundo de su actividad, varios miles de bots se conectaron a él para obtener comandos del servidor. El servidor de desinfección respondió a ellos y los desinfectó, abusando de la falla de diseño del protocolo C&C. Al momento de publicar este artículo, la colaboración ha neutralizado más de 850.000 infecciones únicas de RETADUP", explican los investigadores en una publicación de blog de hoy.

Según Jean-Dominique Nollet, jefe del Servicio Nacional de Inteligencia Criminal de la Gendarmería Nacional, las autoridades mantendrán en línea el servidor de desinfección durante unos meses más ya que algunas computadoras infectadas aún no se han conectado con el servidor de C&C controlado por la policía, algunas han estado desconectado desde julio, mientras que otras tienen problemas de red.

la policía francesa explica RETADUP

La policía francesa también contactó al FBI luego de encontrar en los Estados Unidos algunas partes de la infraestructura de C&C de RETADUP. El FBI los eliminó el 8 de julio, dejando a los autores de malware sin control sobre los bots.

"Dado que era responsabilidad del servidor de C&C dar trabajos de minería a los bots, ninguno de los bots recibió nuevos trabajos de minería para ejecutar después de esta operación", dicen los investigadores. "Esto significaba que ya no podían agotar el poder informático de sus víctimas y que los autores de malware ya no recibían ninguna ganancia monetaria de la minería".

Creado en 2015 y principalmente computadoras infectadas en toda América Latina, RETADUP es un malware de Windows multifuncional que es capaz de extraer criptomonedas utilizando la potencia informática de las máquinas infectadas, la infraestructura dirigida DDoSing utilizando el ancho de banda de las víctimas y la recopilación de información para el espionaje.

propagación de RETADUP

Hay varias variantes de RETADUP, algunas de las cuales se han escrito en Autoit o usando AutoHotkey. El malware ha sido diseñado para lograr la persistencia en las computadoras con Windows, instalar cargas de malware adicionales en las máquinas infectadas y también realizar periódicamente otros intentos de propagación.

Además de distribuir malware de criptomonedas como carga útil, RETADUP, en algunos casos, también se ha encontrado difundiendo el ransomware Stop y el ladrón de contraseñas Arkei.

"El servidor de C&C también contenía un controlador .NET para un AutoIt RAT llamado HoudRat. Al observar las muestras de HoudRat, está claro que HoudRat es solo una variante de Retadup más rica en características y menos prevalente", descubrieron los investigadores después de analizar el servidor C&C incautado.

"HoudRat es capaz de ejecutar comandos arbitrarios, registrar pulsaciones de teclas, tomar capturas de pantalla, robar contraseñas, descargar archivos arbitrarios y más".

Al momento de publicar este artículo, las autoridades han neutralizado más de 850.000 infecciones únicas de Retadup, y la mayoría de las víctimas son de países de habla hispana en América Latina.