¿Qué es Retadup y cómo puede poner en peligro la seguridad de sus contraseñas?

Retadup Brought Down

Retadup es una de las familias de malware que nunca ha logrado captar la atención de los principales medios de comunicación como Trickbot , por ejemplo. Esto parece un poco extraño porque, si bien nunca ha sido el gusano de Windows más extendido, no ha habido escasez de víctimas. No hay mejor prueba de esto que el hecho de que cuando los investigadores de seguridad de Avast colaboraron con la policía francesa para hacerse cargo de uno de los servidores de Comando y Control (C&C) de Retadup, lograron desinfectar 850 mil computadoras individuales en cuestión de minutos.

Fue un gran éxito para la comunidad de seguridad, pero antes de llegar a él, echemos un vistazo a qué es Retadup.

Retadup: un potente descargador repleto de funciones inteligentes

Una de las pocas empresas de seguridad que ha prestado una atención significativa a Retadup es Trend Micro, que publicó algunos artículos técnicos en 2017 y 2018. En aquel entonces, el malware estaba en el centro de varios ataques diferentes contra objetivos grandes y pequeños, y se usó para cualquier cosa, desde la minería de criptomonedas hasta el robo de información.

Más recientemente, Retadup llamó la atención de los investigadores de Avast, quienes dijeron que bastantes usuarios en América del Sur se infectaron en el lapso de unos pocos meses. En esta campaña, el malware se usó principalmente para descargar y activar un minero de criptomonedas, aunque los expertos señalaron que también lo vieron distribuir el ransomware Stop y el ladrón de contraseñas Arkei. Los investigadores de Avast obtuvieron algunas muestras, las analizaron cuidadosamente y se dieron cuenta de que con un poco de ayuda de las agencias policiales relevantes, podrían ser capaces de dar un golpe bastante significativo a toda la operación.

Avast se asocia con la policía francesa para derribar a Retadup

Después de monitorear de cerca cómo las PC infectadas con Retadup reciben comandos de la infraestructura de back-end de los delincuentes, los expertos de Avast descubrieron que, a pesar de toda su sofisticación, Retadup tenía un grave defecto de diseño en el protocolo de comunicación C&C. Si se explota, esta falla habría permitido a los expertos ejecutar un script de desinfección y eliminar Retadup (y todos los rastros que dejó) de las computadoras de cientos de miles de usuarios. Lo único que necesitaban era acceso a un servidor de C&C ubicado en Francia. Para obtenerlo, se pusieron en contacto con el C3N, la unidad de lucha contra el delito cibernético de la policía francesa, y pidieron ayuda.

La operación fue bastante delicada.. Los expertos de Avast tuvieron que mirar más de cerca todo lo que había en el servidor de C&C antes de poder escribir y ejecutar el script. Al mismo tiempo, era crucial que los operadores de malware no tuvieran idea de lo que estaba sucediendo. Si lo supieran, habrían decidido que si la operación Retadup iba a terminar, terminaría con una explosión, y en lugar del minero de criptomonedas relativamente inofensivo, habrían dejado caer ransomware en cientos de miles de computadoras. El sigilo, por lo tanto, era de suma importancia.

El proveedor de alojamiento que opera el servidor C&C creó una instantánea del disco duro y se lo entregó a la Policía francesa, que a su vez, lo transmitió a los expertos de Avast. Esto también suena más fácil de lo que es. La empresa de hosting tuvo que crear la instantánea sin alertar a los autores de malware, y también tuvo que asegurarse de que la privacidad de las personas estuviera protegida, lo que significaba dar a los investigadores de Avast acceso solo a partes específicas de los C&C. Cuando los expertos analizaron el servidor, vieron rastros de una infección de malware. Resultó que, irónicamente, los autores de Retadup habían sido lo suficientemente descuidados como para infectarse con otra variedad de software malicioso.

Después de mucho trabajo duro, se realizó el script de desinfección y se colocó en un servidor que supuestamente reemplazaría a los C&C y detendría la Retadup. Finalmente, en julio, la policía francesa recibió los permisos necesarios, los servidores se cambiaron y, en cuestión de segundos, se eliminaron varios miles de infecciones de Retadup. El resto de la infraestructura de C&C estaba ubicada en los Estados Unidos, lo que significaba que el FBI también tenía que involucrarse. Después de que los servidores fueron retirados, los autores del malware no tuvieron forma de comunicarse con su gusano.

Retadup está abajo, pero ¿está fuera?

En comparación con el ransomware o una operación de robo de información, la minería de criptomonedas siempre será más un inconveniente que cualquier otra cosa. Sin embargo, derribar una botnet tan masiva de dispositivos infectados con malware siempre es una buena noticia. Desafortunadamente, todavía es demasiado pronto para decir si Retadup está fuera para siempre.

Si los investigadores de Avast pueden encontrar la falla en el protocolo de comunicación, también lo pueden hacer los autores del malware. Y si lo arreglan, reconstruir la infraestructura de C&C y reiniciar la operación no debería ser demasiado difícil.

En Duran
September 5, 2019
Ransomware
Spanish
September 5, 2019
Ransomware

Entradas populares

Microsoft advierte que los actores de amenazas respaldados por...

Hace 4 days

Troyano Al11 Detección de malware

Hace 11 months

Pinaview es una aplicación de adware con todas las funciones

Hace 10 months

Ventanas emergentes "Tu iCloud está siendo pirateado" y "Tu...

Hace 7 months

¿Qué es Lucky Ransomware?

Hace 7 months

Estafa por correo electrónico 'American Express - Actualice la...

Hace 6 months
Spanish
Cargando...

Cyclonis Backup Details & Terms

The Free Basic Cyclonis Backup plan gives you 2 GB of cloud storage space with full functionality! No credit card required. Need more storage space? Purchase a larger Cyclonis Backup plan today! To learn more about our policies and pricing, see Terms of Service, Privacy Policy, Discount Terms and Purchase Page. If you wish to uninstall the app, please visit the Uninstallation Instructions page.

Cyclonis Password Manager Details & Terms

FREE Trial: 30-Day One-Time Offer! No credit card required for Free Trial. Full functionality for the length of the Free Trial. (Full functionality after Free Trial requires subscription purchase.) To learn more about our policies and pricing, see EULA, Privacy Policy, Discount Terms and Purchase Page. If you wish to uninstall the app, please visit the Uninstallation Instructions page.

Casa

Productos

Cyclonis Backup Cyclonis Password Manager Cyclonis World Time

Soporte

Archivos de ayuda Preguntas frecuentes Downloads Inquiries & Support

Empresa

Sobre Nosotros Contact Us Report Abuse

Legal (Post Merger)

EnigmaSoft Limited (fka Cyclonis Limited)

Cyclonis Backup's Terms of Service Cyclonis Password Manager's EULA Cyclonis World Time's Terms of Service Política de privacidad Política de cookies Special Discount Offer Terms Additional Terms & Conditions SpyHunter EULA RegHunter EULA EnigmaSoft Privacy Policy & Cookie Policy ESG Privacy Policy & Cookie Policy EnigmaSoft Discount Offer Terms ESG Discount Offer Terms

© 2017-2024 Cyclonis Ltd. CYCLONIS is a trademark of EnigmaSoft Limited (Cyclonis was merged into EnigmaSoft Limited effective November 25, 2023.) All rights reserved.

Registered Office EnigmaSoft Limited: 1 Castle Street, 3rd Floor, Dublin 2 D02 XD82, Ireland.
EnigmaSoft Limited, Private Company Limited by shares, Company Registration Number 597114.

Windows es una marca comercial de Microsoft, registrada en EE. UU. Y otros países.
Mac, iPhone, iPad y App Store son marcas comerciales de Apple Inc., registradas en EE. UU. Y otros países.
iOS es una marca comercial registrada de Cisco Systems, Inc. y / o sus afiliadas en los Estados Unidos y algunos otros países.
Android y Google Play son marcas comerciales de Google LLC.