O worm, conhecido como Retadup, que distribui um minerador maligno de criptomoedas e, em casos isolados, dissemina um ransomware chamado Stope um roubador de senhas denominado Arkei, foi neutralizado em 15 países, informa a fornecedora de software de segurança Avast. A empresa colaborou com o Centro de Combate ao Cybercrime (C3N) da Gendarmerie, a polícia francesa, a qual derrubou o wormmalicioso que infectou centenas de milhares de máquinas Windows na América Latina.
Segundo a Avast, até o momento, a colaboração neutralizou 850 mil infecções únicas do Retadup(a lista dos 15 principais países, nos quais a ameaça foi neutralizada pode ser encontrada abaixo), e o servidor de comando e controle maligno (C&C) foi substituído por um servidor de desinfecção que causou a autodestruição das partes conectadas do malware.
Durante a análise, a equipe de Inteligência de Ameaças da Avast descobriu que o Retadupse espalhava principalmente por download de arquivos LNK maliciosos em drives conectados, na esperança de que as pessoas compartilhem os arquivos malignos com outros usuários. O arquivo LNK é criado com o mesmo nome de uma pasta já existente, nomeado como “Copiar fpl.lnk” anexado a ele. Dessa forma, tenta induzir os usuários a pensar que estão abrindo seus próprios arquivos, quando na realidade estão se infectando com o malware. Quando executado em um computador, o arquivo LNK executa o scriptmalicioso do Retadup.
“Os cibercriminosos por trás do Retaduptinham a capacidade de executar um malware arbitrário adicional, em centenas de milhares de computadores em todo o mundo”, diz Jan Vojtěšek, engenheiro reverso da Avast. “Nossos principais objetivos eram impedi-los de executar o malware destrutivo em larga escala e abusar ainda mais dos computadores infectados”.
Enquanto analisavam o Retadup, a equipe de Inteligência de Ameaças da Avast identificou uma falha de designno protocolo C&C, que permitiria a remoção do malware dos computadores das vítimas e o controle do servidor C&C. A infraestrutura C&C do Retadupestava localizada principalmente na França. Então, a equipe entrou em contato com o Centro de Combate ao Cybercrime (C3N) da Gendarmerie, a polícia francesa, no final de março para compartilhar suas descobertas.
Em 2 de julho de 2019, o C3N substituiu o servidor C&C mal-intencionado por um servidor de desinfecção preparado, que fazia com que as instâncias conectadas do Retadupse autodestruíssem.
No primeiro segundo de atividade, vários milhares de botsforam conectados a ele, buscando os comandos do servidor. O servidor de desinfecção respondeu a eles e desinfectou-os, abusando da falha de designdo protocolo C&C. Isso possibilitou o fim do Retadupe a proteção não apenas dos usuários da Avast, mas de todos, sem necessidade de ação das vítimas.
Algumas partes da infraestrutura C&C também estavam localizadas nos EUA. A Gendarmerie alertou o FBI que os retirou e, em 8 de julho de 2019, os autores do malware não tinham mais controle sobre os botsde malware. Como era função do servidor C&C fornecer trabalhos de mineração para os bots, nenhum deles recebeu nenhuma nova tarefa para executar após essa remoção. Isso significava que eles não podiam mais drenar o poder computacional de suas vítimas e os autores do malware não receberiam mais nenhum ganho monetário com a mineração.
Os computadores infectados com o Retadupenviaram muitas informações sobre as máquinas infectadas para o servidor C&C. A Gendarmerie concedeu à equipe da Avast acesso a uma imagem instantânea do servidor, para que pudesse obter algumas informações adicionais sobre as vítimas do worm.