Polisi Prancis dari jauh menghapus Malware RETADUP dari 850.000 PC yang terinfeksi


Badan penegak hukum Prancis, National Gendarmerie, hari ini mengumumkan penghapusan salah satu yang terbesar RETADUP malware botnet dan bagaimana itu mendesinfeksi jarak jauh lebih dari 850.000 komputer di seluruh dunia dengan bantuan para peneliti.

Awal tahun ini, peneliti keamanan di perusahaan antivirus Avast, yang secara aktif memantau aktivitas botnet RETADUP, menemukan cacat desain dalam protokol C&C malware yang bisa dieksploitasi untuk menghapus malware dari komputer korban tanpa mengeksekusi kode tambahan.

Namun, untuk melakukan itu, rencana tersebut mengharuskan para peneliti untuk memiliki kontrol atas server C&C malware, yang di-host dengan penyedia hosting yang berlokasi di wilayah Ile-de-France di utara-tengah Prancis.

Oleh karena itu, para peneliti menghubungi Cybercrime Fighting Center (C3N) dari Gendarmerie Nasional Prancis pada akhir Maret tahun ini, berbagi temuan mereka, dan mengusulkan rencana rahasia untuk mengakhiri virus RETADUP dan melindungi para korban.

Menurut rencana yang diusulkan, pihak berwenang Perancis mengambil kendali atas server R&AD C&C pada bulan Juli dan menggantinya dengan server desinfeksi yang disiapkan yang menyalahgunakan cacat desain dalam protokolnya dan memerintahkan contoh terhubung dari malware RETADUP pada komputer yang terinfeksi untuk dihancurkan sendiri. .

"Pada detik pertama aktivitasnya, beberapa ribu bot terhubung untuk mengambil perintah dari server. Server desinfeksi merespons dan mendesinfeksi mereka, menyalahgunakan cacat desain protokol C&C," para peneliti menjelaskan dalam sebuah posting blog. diterbitkan hari ini.

"Pada saat penerbitan artikel ini, kolaborasi ini telah menetralkan lebih dari 850.000 infeksi unik RETADUP."

Menurut Jean-Dominique Nollet, kepala Layanan Intelijen Kriminal Nasional di Gendarmerie Nationale, pihak berwenang akan menjaga server desinfeksi online untuk beberapa bulan lagi karena beberapa komputer yang terinfeksi belum membuat koneksi dengan server C&C yang dikendalikan oleh polisi – beberapa telah telah offline sejak Juli sementara yang lain memiliki masalah jaringan.

RETADUP Malware
Polisi Prancis juga menghubungi FBI setelah menemukan beberapa bagian dari infrastruktur C&C RETARD di Amerika Serikat. FBI kemudian menjatuhkan mereka pada 8 Juli, membuat para pembuat malware tidak memiliki kendali atas bot.

"Karena itu adalah tanggung jawab server C&C untuk memberikan pekerjaan pertambangan kepada bot, tidak ada bot yang menerima pekerjaan pertambangan baru untuk dieksekusi setelah penghancuran ini," kata para peneliti. "Ini berarti bahwa mereka tidak bisa lagi menguras daya komputasi korban mereka dan bahwa pembuat malware tidak lagi menerima keuntungan finansial dari penambangan."

Dibuat pada 2015 dan sebagian besar komputer yang terinfeksi di seluruh Amerika Latin, RETADUP adalah multi-fungsional Windows malware yang mampu menambang cryptocurrency menggunakan kekuatan komputasi mesin yang terinfeksi, DDoSing menargetkan infrastruktur memanfaatkan bandwidth korban, dan mengumpulkan informasi untuk spionase.

Ada beberapa varian RETADUP, beberapa di antaranya telah ditulis dalam Autoit atau menggunakan AutoHotkey. Malware telah dirancang untuk mencapai kegigihan hidup Windows komputer, pasang muatan malware tambahan pada mesin yang terinfeksi dan juga secara berkala melakukan upaya lain untuk menyebarkannya.

RETADUP Malware
Selain mendistribusikan malware cryptocurrency sebagai payload, RETADUP, dalam beberapa kasus, juga ditemukan menyebarkan Stop ransomware dan pencuri kata sandi Arkei.

"Server C&C juga berisi .NET controller untuk AutoIt RAT yang disebut HoudRat. Melihat sampel HoudRat, jelas bahwa HoudRat hanyalah varian Retadup yang lebih kaya fitur dan kurang lazim," para peneliti mempelajari setelah menganalisis perebutan yang disita. Server C&C.

"HoudRat mampu mengeksekusi perintah sewenang-wenang, mencatat penekanan tombol, mengambil tangkapan layar, mencuri kata sandi, mengunduh file sewenang-wenang, dan banyak lagi."

Pada saat menerbitkan artikel ini, pihak berwenang telah menetralkan lebih dari 850.000 infeksi unik Retadup, dengan sebagian besar korban berasal dari negara-negara berbahasa Spanyol di Amerika Latin.

Pos terkait

Back to top button