Эксперты компании Avast и сотрудники Центра борьбы с киберпреступностью (C3N) французской жандармерии совместными усилиями отключили инфраструктуру группировки, стоящей за распространением вредоносного ПО Retadup. Специалистам удалось получить доступ к C&C-серверам группировки и очистить более 850 тыс. зараженных вредоносом компьютеров.
Исследователи в течение нескольких месяцев анализировали вредоносную программу и в итоге обнаружили уязвимость в дизайне коммуникационного протокола управляющего сервера, благодаря которой им удалось уничтожить вредонос на компьютерах, отправив соответствующую команду.
Поскольку C&C-серверы Redatup находились во Франции, эксперты обратились к французской полиции. Согласно данным телеметрии, подавляющее большинство зараженных устройств располагалось в Латинской Америке (Венесуэла, Мексика, Боливия, Колумбия, Аргентина, Куба), порядка 35% случаев инфицирования были зафиксированы в Перу. Как отмечается, большинство зараженных устройств работали на базе ОС Windows 7, а на более 85% компьютеров не был установлен антивирус.
Впервые вредонос Retadup был замечен в 2017 году. Ранние версии программы представляли собой простой троян для сбора информации с зараженных устройств. Отличительной чертой данных версий являлось «червеподобное» поведение – троян сохранял вредоносные файлы LNK на общих дисках и таким образом инфицировал другие устройства, на которых открывались эти файлы.
За последние несколько лет операторы вредоноса несколько изменили тактику, добавив функции майнинга криптовалюты. Согласно данным с управляющих серверов, злоумышленники заработали по меньшей мере 53,72 монет Monero (примерно $4,5 тыс.), однако исследователи полагают, что сумма может быть значительно выше.
• Source: decoded.avast.io/janvojtesek/putting-an-end-to-retadup-a-malicious-worm-that-infected-hundreds-of-thousands
Исследователи в течение нескольких месяцев анализировали вредоносную программу и в итоге обнаружили уязвимость в дизайне коммуникационного протокола управляющего сервера, благодаря которой им удалось уничтожить вредонос на компьютерах, отправив соответствующую команду.
Поскольку C&C-серверы Redatup находились во Франции, эксперты обратились к французской полиции. Согласно данным телеметрии, подавляющее большинство зараженных устройств располагалось в Латинской Америке (Венесуэла, Мексика, Боливия, Колумбия, Аргентина, Куба), порядка 35% случаев инфицирования были зафиксированы в Перу. Как отмечается, большинство зараженных устройств работали на базе ОС Windows 7, а на более 85% компьютеров не был установлен антивирус.
Впервые вредонос Retadup был замечен в 2017 году. Ранние версии программы представляли собой простой троян для сбора информации с зараженных устройств. Отличительной чертой данных версий являлось «червеподобное» поведение – троян сохранял вредоносные файлы LNK на общих дисках и таким образом инфицировал другие устройства, на которых открывались эти файлы.
За последние несколько лет операторы вредоноса несколько изменили тактику, добавив функции майнинга криптовалюты. Согласно данным с управляющих серверов, злоумышленники заработали по меньшей мере 53,72 монет Monero (примерно $4,5 тыс.), однако исследователи полагают, что сумма может быть значительно выше.
• Source: decoded.avast.io/janvojtesek/putting-an-end-to-retadup-a-malicious-worm-that-infected-hundreds-of-thousands