Fransız Polisi 850.000 Enfekte PC'den RETADUP Zararlı Yazılımını Uzaktan Kaldırdı

Fransız kolluk kuvvetleri Ulusal Jandarma, bugün geniş çaplı en geniş dağıtımlardan birinin başarıyla devralındığını açıkladı RETADUP botnet malware ve araştırmacıların yardımıyla dünya çapında 850.000’den fazla bilgisayarı uzaktan nasıl dezenfekte etti.

Bu yılın başlarında, RETADUP botnet’in faaliyetlerini aktif olarak izleyen Avast antivirüs firmasındaki güvenlik araştırmacıları, kötü amaçlı yazılımın C&C protokolünde, kötü amaçlı yazılımı kurbanların bilgisayarından fazladan bir kod çıkarmadan çıkarmak için kullanılabilecek bir tasarım hatası olduğunu keşfetti.

Bununla birlikte, plan, araştırmacıların kötü amaçlı yazılımın C&C sunucusu üzerinde, Kuzey-Orta Fransa’daki Ile-de-France bölgesinde yer alan bir barındırma sağlayıcısına ev sahipliği yapan kontrolü sağlamasını gerektiriyordu.

Bu nedenle araştırmacılar, bu yılın Mart ayının sonunda Fransa Ulusal Jandarma Siber Suçla Mücadele Merkezi’ne (C3N) başvurdu, bulgularını paylaştı ve RETADUP virüsüne son vermek ve mağdurları korumak için gizli bir plan önerdiler.

Önerilen plana göre, Fransız yetkililer Temmuz ayında RETADUP C&C sunucusu üzerindeki kontrolünü ele geçirdi ve yerini, protokolündeki tasarım kusurunu kötüye kullanan ve virüslü bilgisayarlardaki RETADUP kötü amaçlı yazılımın bağlı örneklerini kendi kendini imha etmelerini emreden hazırlanmış bir dezenfeksiyon sunucusu ile değiştirdi .

Bir blog yazısında, “Faaliyetinin ilk saniyesinde, sunucudan komutlar almak için kendisine birkaç bin bot bağlandı. Dezenfeksiyon sunucusu bunlara cevap verdi ve dezenfekte ederek C&C protokol tasarım kusurunu kötüye kullandı” açıklamasında bulundu. bugün yayınlandı.

“Bu makalenin yayınlandığı tarihte, işbirliği 850.000’in üzerinde eşsiz RETADUP enfeksiyonunu etkisiz hale getirdi.”

Jandarma Nationale Ulusal Ceza İstihbarat Servisi başkanı Jean-Dominique Nollet’e göre, bazı virüslü bilgisayarların polis kontrolündeki C&C sunucusuyla henüz bir bağlantısı olmadığından yetkililer dezenfeksiyon sunucusunu birkaç ay daha çevrimiçi tutacaklar. Temmuz’dan beri çevrimdışıydı, diğerlerinde ağ sorunu var.

Fransız polisi ayrıca, RETARD’ın C&C altyapısının Amerika Birleşik Devletleri’ndeki bazı bölümlerini bulduktan sonra FBI ile temasa geçti. FBI daha sonra 8 Temmuz’da onları indirdi ve kötü amaçlı yazılım yazarlarını botlar üzerinde kontrol etmeden bıraktı.

Araştırmacılar, “C&C sunucusunun botlara madencilik işleri verme sorumluluğu olduğu için, botların hiçbiri bu devralmadan sonra yürütülecek yeni madencilik işi almadı” dedi. “Bu, kurbanlarının bilgi işlem gücünü artık azaltamayacakları ve kötü amaçlı yazılım yazarlarının madencilikten para kazanmadıkları anlamına geliyordu.”

Latin Amerika’da 2015 yılında ve öncelikle virüs bulaşan bilgisayarlarda oluşturulan RETADUP çok işlevli bir Windows Enfekte makinelerin bilgi işlem gücünü kullanarak kripto para birimi üretebilecek kötü amaçlı yazılım, DDoSing kurbanların bant genişliğini kullanan altyapıyı hedefledi ve casusluk için bilgi topladı.

Bazıları Autoit’te yazılmış veya AutoHotkey kullanılarak yazılmış birkaç RETADUP çeşidi vardır. Kötü amaçlı yazılım, üzerinde kalıcı olmak için tasarlanmıştır Windows bilgisayarları bulaştırmak, virüslü makinelere ek kötü amaçlı yazılım yükleri yüklemek ve ayrıca belirli aralıklarla kendisini dağıtmak için başka girişimlerde bulunmak.

Cryptocurrency kötü amaçlı yazılımını yük olarak da dağıtmanın yanı sıra, RETADUP, bazı durumlarda, Durdurma Fidye Yazılımını ve Arkei şifre hırsızlığını dağıttı.

Araştırmacılar, “C&C sunucusu ayrıca HoudRat adlı bir AutoIt RAT için bir .NET denetleyicisi içeriyordu. HoudRat örneklerine baktığımızda, HoudRat’ın sadece daha zengin özelliklere sahip ve Retadup’un daha az yaygın bir çeşidi olduğu açık” dedi. C&C sunucusu.

“HoudRat, keyfi komutları yürütme, tuş vuruşlarını kaydetme, ekran görüntüleri alma, şifreleri çalma, keyfi dosyaları indirme ve daha fazlasını yapabilir.”

Bu makalenin yayınlandığı tarihte yetkililer, çoğu kurbanı Latin Amerika’daki İspanyolca konuşulan ülkelerden gelen 850.000’in üzerinde eşsiz Retadup enfeksiyonunu etkisiz hale getirdi.