Was ist Retadup und wie kann es die Sicherheit Ihrer Passwörter gefährden?

Retadup ist eine der Malware-Familien, die es nie wirklich geschafft hat, die Aufmerksamkeit der Mainstream-Medien auf sich zu ziehen , wie es beispielsweise Trickbot getan hat. Dies scheint ein bisschen seltsam zu sein, denn obwohl es sich nie um den am weitesten verbreiteten Windows-Wurm handelte, gab es keinen Mangel an Opfern. Es gibt keinen besseren Beweis dafür als die Tatsache, dass Sicherheitsforscher von Avast in Zusammenarbeit mit der französischen Polizei einen der Command & Control-Server (C & C) von Retadup übernommen und in wenigen Minuten 850.000 einzelne Computer desinfiziert haben.

Es war ein riesiger Erfolg für die Sicherheitsgemeinschaft, aber bevor wir dazu kommen, schauen wir uns an, was Retadup ist.

Retadup - ein leistungsstarker Downloader mit cleveren Funktionen

Eines der wenigen Sicherheitsunternehmen, das Retadup besondere Beachtung geschenkt hat, ist Trend Micro, das in den Jahren 2017 und 2018 einige technische Artikel veröffentlicht hat. Damals stand die Malware im Mittelpunkt einer Reihe verschiedener Angriffe auf große und kleine Ziele. und es wurde für alles von Cryptocurrency Mining bis hin zu Informationsdiebstahl verwendet.

In jüngerer Zeit erregte Retadup die Aufmerksamkeit von Avast-Forschern, die angaben, dass innerhalb weniger Monate eine ganze Reihe von Anwendern in Südamerika infiziert wurden. In dieser Kampagne wurde die Malware hauptsächlich zum Herunterladen und Aktivieren eines Cryptocurrency-Miners verwendet. Die Experten wiesen jedoch darauf hin, dass der Miner auch die Stop Ransomware und den Arkei Password Stealer vertreibt. Die Forscher von Avast haben einige Proben in die Hand genommen, sie sorgfältig analysiert und festgestellt, dass sie mit ein wenig Hilfe der zuständigen Strafverfolgungsbehörden möglicherweise nur einen erheblichen Schlag für die gesamte Operation erleiden können.

Avast schließt sich mit der französischen Polizei zusammen, um Retadup zu Fall zu bringen

Nachdem die Experten von Avast genau überwacht hatten, wie mit Retadup infizierte PCs Befehle von der Backend-Infrastruktur der Gauner empfangen, stellten sie fest, dass Retadup trotz aller Raffinesse einen schwerwiegenden Konstruktionsfehler im Kommunikationsprotokoll von C & C aufwies. Wenn dieser Fehler ausgenutzt worden wäre, hätten die Experten ein Desinfektionsskript ausführen und Retadup (und alle von ihm hinterlassenen Spuren) von den Computern von Hunderttausenden von Benutzern entfernen können. Das einzige, was sie brauchten, war der Zugriff auf einen C & C-Server in Frankreich. Um es zu bekommen, nahmen sie Kontakt mit der C3N - der Cybercrime Fighting Unit der französischen Polizei - auf und baten um Unterstützung.

Die Operation war ziemlich heikel. Die Experten von Avast mussten sich alles, was sich auf dem C & C-Server befand, genauer ansehen, bevor sie das Skript schreiben und ausführen konnten. Gleichzeitig war es entscheidend, dass die Malware-Betreiber keine Ahnung haben, was los ist. Wenn sie das gewusst hätten, hätten sie entschieden, dass die Retadup-Operation mit einem Knall enden wird, und statt des relativ harmlosen Cryptocurrency-Miners hätten sie Ransomware auf Hunderttausenden von Computern abgelegt. Stealth war daher von größter Bedeutung.

Der Hosting-Anbieter, der den C & C-Server betreibt, erstellte einen Schnappschuss der Festplatte und übergab ihn der französischen Polizei, die ihn wiederum an die Experten von Avast weiterleitete. Auch das klingt einfacher als es ist. Das Hosting-Unternehmen musste den Snapshot erstellen, ohne die Malware-Autoren zu benachrichtigen. Außerdem musste sichergestellt werden, dass die Privatsphäre der Nutzer geschützt ist, was bedeutete, dass die Avast-Forscher nur auf bestimmte Teile des C & C zugreifen konnten. Bei der Analyse des Servers haben die Experten Spuren einer Malware-Infektion festgestellt. Es stellte sich heraus, dass die Autoren von Retadup ironischerweise so leichtsinnig waren, sich mit einer anderen Art bösartiger Software zu infizieren.

Viel harte Arbeit später wurde das Desinfektionsskript ausgeführt und auf einen Server gestellt, der das C & C ersetzen und Retadup stoppen sollte. Schließlich erhielt die französische Polizei im Juli die erforderlichen Genehmigungen, die Server wurden gewechselt und innerhalb von Sekunden mehrere tausend Retadup-Infektionen beseitigt. Der Rest der C & C-Infrastruktur befand sich in den USA, was bedeutete, dass sich auch das FBI beteiligen musste. Nachdem die Server heruntergefahren waren, hatten die Malware-Autoren keine Möglichkeit, mit ihrem Wurm zu kommunizieren.

Retadup ist ausgefallen, aber ist es aus?

Im Vergleich zu Ransomware oder einem Diebstahl von Informationen ist das Cryptocurrency Mining immer unbequemer als alles andere. Trotzdem ist es immer eine gute Nachricht, ein solch massives Botnetz von mit Malware infizierten Geräten herunterzufahren. Leider ist es noch viel zu früh, um zu sagen, ob Retadup endgültig ausfällt.

Wenn Avasts Forscher den Fehler im Kommunikationsprotokoll finden können, können dies auch die Autoren der Malware. Und wenn sie das Problem beheben, sollte es nicht allzu schwierig sein, die C & C-Infrastruktur wiederherzustellen und den Betrieb neu zu starten.