- Retadup Crypto Miner Drop Worm gestopt nadat Avast zijn C&C had vervangen.
- Het beveiligingsbedrijf werkte samen met de FBI en de Franse politie om de worm te stoppen.
- Autoriteiten weten wie de acteur is omdat hij op sociale media heeft opgeschept over Retadup.
Retadup is een kwaadaardige worm die zichzelf repliceert en zich automatisch verspreidt naar Windows-systemen (alle versies), waarbij cryptocurrency (Monero) wordt gemined voor het account van de auteur die het sinds vorig jaar op Twitter claimt. Na meer dan 850.000 unieke systemen te hebben geïnfecteerd, voornamelijk in Latijns-Amerika, werkte Avast samen met Franse en Amerikaanse wetshandhavingsinstanties en erin geslaagd de worm te stoppen door zichzelf te vernietigen. Trend Micro ontdekte de worm al in april 2018Waarschuwing voor de detectie- en ontwijkingsfuncties en de kenmerken van polymorfisme.
Het is mijn kindje <3 https://t.co/E2dy6Dmpna
– Zwarte Joker (@radblackjoker) 27 april 2018
Avast analyseerde de worm en ontdekte dat de C&C-infrastructuur zich in Frankrijk bevond. Ze werkten nauw samen met de Franse politie om een van de kwaadaardige servers over te nemen en deze op een specifieke manier te misbruiken die Retadup neutraliseert. De Franse politie droeg haar steentje bij door de hostingprovider te dwingen belangrijke gegevens met Avast te delen, die uiteindelijk een momentopname van de doelserver bemachtigde. Hij was verrast dat de meegeleverde uitvoerbare bestanden per ongeluk waren geïnfecteerd met de Neshta-malware. In juli werd de juridische actie afgerond, zodat de C&C-server werd vervangen door een desinfectieserver nadat Avast-onderzoekers misbruik hadden gemaakt van een protocolontwerpfout in het doelsysteem.
Nadat de dreiging was ingetrokken, analyseerden onderzoekers de slachtoffergegevens die de worm naar de infrastructuur had verzonden en ontdekten dat meer dan 85% van de slachtoffers geen antivirusoplossing gebruikte en dat bij veel van degenen die dat wel deden, deze was uitgeschakeld. Meer dan de helft van de slachtoffers gebruikte Windows 7 dat binnenkort niet meer wordt ondersteund, terwijl een aanzienlijke 26% Windows 8 en 8.1 gebruikte. Een opmerkelijke 3,5% gebruikte het volledig verouderde Windows XP-systeem, zozeer zelfs dat ze praktisch om een mijnwerker vroegen om hun systeembronnen over te nemen.
Bron: gedecodeerd.avast.ioOok de FBI was erbij betrokken omdat een klein deel van de infrastructuur van Retadup zich in de Verenigde Staten bevond. Als dit werd genegeerd, zou de acteur zich daar misschien van kunnen herstellen. Daarover gesproken: de persoon werd geïdentificeerd als een 26-jarige Palestijn. De ware identiteit van de acteur werd ontdekt door onderzoekers van Under the Breach en as gerapporteerd door ZDNetJe hebt het gevonden via de domeinregistratiegegevens. De man was te trots op deze creatie, zodat hij zich niet kon inhouden en gewoon de vruchten kon plukken van cryptomining.
In zijn profiel schept de hacker op over zijn operaties: pic.twitter.com/xsry9vz0Ww
– Onder de inbreuk (@underthebreach) 28 augustus 2019
Bent u besmet met de Retadup-worm? Laat ons de details weten in de opmerkingen hieronder of op onze sociale media op Facebook En Twitteren.
