ИБ-эксперты и французская полиция отключили ботнет Retadup ( 1 фото )
- 28.08.2019
- 936
В ходе операции эксперты очистили более 850 тыс. компьютеров от вредоносного ПО.
Эксперты компании Avast и сотрудники Центра борьбы с киберпреступностью (C3N) французской жандармерии совместными усилиями отключили инфраструктуру группировки, стоящей за распространением вредоносного ПО Retadup. Специалистам удалось получить доступ к C&C-серверам группировки и очистить более 850 тыс. зараженных вредоносом компьютеров.
Исследователи в течение нескольких месяцев анализировали вредоносную программу и в итоге обнаружили уязвимость в дизайне коммуникационного протокола управляющего сервера, благодаря которой им удалось уничтожить вредонос на компьютерах, отправив соответствующую команду.
Поскольку C&C-серверы Redatup находились во Франции, эксперты обратились к французской полиции. Согласно данным телеметрии, подавляющее большинство зараженных устройств располагалось в Латинской Америке (Венесуэла, Мексика, Боливия, Колумбия, Аргентина, Куба), порядка 35% случаев инфицирования были зафиксированы в Перу. Как отмечается, большинство зараженных устройств работали на базе ОС Windows 7, а на более 85% компьютеров не был установлен антивирус.
Впервые вредонос Retadup был замечен в 2017 году. Ранние версии программы представляли собой простой троян для сбора информации с зараженных устройств. Отличительной чертой данных версий являлось «червеподобное» поведение – троян сохранял вредоносные файлы LNK на общих дисках и таким образом инфицировал другие устройства, на которых открывались эти файлы.
За последние несколько лет операторы вредоноса несколько изменили тактику, добавив функции майнинга криптовалюты. Согласно данным с управляющих серверов, злоумышленники заработали по меньшей мере 53,72 монет Monero (примерно 4,5 тыс.), однако исследователи полагают, что сумма может быть значительно выше.
Материал взят: Тут