Qu'est-ce que Retadup et comment peut-il compromettre la sécurité de vos mots de passe?

Retadup est l’une des familles de malwares qui n’a jamais vraiment réussi à attirer l’attention des médias grand public comme Trickbot , par exemple. Cela semble un peu étrange, car même s’il n’a jamais été le ver Windows le plus répandu, il n’ya pas eu de pénurie de victimes. La meilleure preuve de cela est le fait que lorsque des chercheurs en sécurité Avast ont collaboré avec la police française pour prendre le contrôle de un des serveurs de Retadup, ils ont réussi à désinfecter 850 000 ordinateurs individuels en quelques minutes.

Ce fut un succès retentissant pour la communauté de la sécurité, mais avant de commencer, jetons un coup œil à ce q est Retadup.

Retadup - un téléchargeur puissant doté de fonctionnalités intelligentes

Une des rares entreprises de sécurité à accorder une attention particulière à Retadup est Trend Micro, qui a publié quelques articles techniques en 2017 et 2018. À époque, le malware était au centre un certain nombre attaques différentes visant des cibles de toutes tailles, et il a été utilisé pour tout, de extraction de crypto-monnaie au vol informations.

Plus récemment, Retadup a attiré attention des chercheurs Avast, qui ont déclaré que de nombreux utilisateurs Amérique du Sud avaient été infectés en quelques mois. Dans cette campagne, le malware était principalement utilisé pour télécharger et activer un mineur de crypto-monnaie, bien que les experts aient précisé avoir vu distribuer le ransomware Stop ainsi que le voleur de mots de passe Arkei. Les chercheurs d’Avast ont saisi quelques échantillons, les ont analysés avec soin et se sont rendus compte qu’avec un peu d’aide des forces de l’ordre compétentes, ils pourraient peut-être porter un coup très dur à l’ensemble de l’opération.

Avast fait équipe avec la police française pour faire tomber Retadup

Après avoir suivi de près la manière dont les ordinateurs infectés par Retadup reçoivent des commandes de infrastructure dorsale des escrocs, les experts Avast ont découvert que malgré toute sa sophistication, Retadup présentait un grave défaut de conception dans le protocole de communication C & C. Si elle était exploitée, cette faille aurait permis aux experts exécuter un script de désinfection et de retirer Retadup (ainsi que toutes les traces laissées par celui-ci) des ordinateurs de centaines de milliers utilisateurs. La seule chose dont ils avaient besoin était un accès à un serveur C & C situé en France. Pour obtenir, ils ont contacté le C3N, unité de lutte contre la cybercriminalité de la police française, et ont demandé de aide.

opération était plutôt délicate. Les experts d’Avast devaient examiner de plus près tout ce qui se trouvait sur le serveur C & C avant de pouvoir écrire et exécuter le script. Dans le même temps, il était crucial que les opérateurs de programmes malveillants n’aient aucune idée de ce qui se passait. ils le savaient, ils auraient décidé que si opération Retadup devait se terminer, elle se terminerait par un bang et q au lieu du mineur relativement inoffensif de la crypto-monnaie, ils auraient abandonné le ransomware sur des centaines de milliers ordinateurs. La furtivité était donc de la plus haute importance.

Le fournisseur hébergement exploitant le serveur C & C a créé un instantané du disque dur et a transmis à la police française, qui a à son tour transmise aux experts Avast. Cela aussi semble plus facile que ça. La société d’hébergement devait créer l’instantané sans alerter les auteurs des programmes malveillants. Elle devait également veiller à la protection de la vie privée des personnes, ce qui signifiait que les chercheurs d’Avast ne pouvaient accéder qu’à des parties spécifiques du C & C. Lorsque les experts ont analysé le serveur, ils ont constaté des traces d’infection par des logiciels malveillants. Ironiquement, il est apparu que les auteurs de Retadup avaient été assez imprudents pour infecter avec une autre variété de logiciels malveillants.

Beaucoup de travail ardu par la suite, le script de désinfection a été fait et il a été mis sur un serveur qui était supposé remplacer le C & C et arrêter Retadup. Finalement, en juillet, la police française a reçu les autorisations nécessaires, les serveurs ont été basculés et en quelques secondes, plusieurs milliers infections Retadup ont été supprimées. Le reste de infrastructure de C & C était situé aux États-Unis, ce qui impliquait implication du FBI. Une fois les serveurs supprimés, les auteurs du programme malveillant avaient aucun moyen de communiquer avec leur ver.

Retadup est en panne, mais est-il sorti?

Par rapport à un ransomware ou à une opération de vol informations, extraction de crypto-monnaie sera toujours plus un inconvénient que toute autre chose. Néanmoins, la suppression un réseau de zombies aussi massif appareils infectés par des logiciels malveillants est toujours une bonne nouvelle. Malheureusement, il est encore trop tôt pour dire si Retadup est pour de bon.

Si les chercheurs Avast peuvent trouver la faille dans le protocole de communication, il en va de même pour les auteurs du malware. Et s’ils résolvent le problème, reconstruire l’infrastructure de C & C et redémarrer l’opération ne devrait pas être trop difficile.