Che cos'è Retadup e come può Compromettere la Sicurezza delle tue Password?

Retadup è una delle famiglie di malware che non è mai realmente riuscita a catturare attenzione dei media tradizionali come Trickbot , ad esempio. Sembra un postrano perché, sebbene non sia mai stato il worm Windows più diffuso, non ci sono state carenze di vittime. Non è prova migliore di questo del fatto che quando i ricercatori sulla sicurezza di Avast hanno collaborato con la polizia francese nel subentrare in uno dei server Command & Control (C&C) di Retadup, sono riusciti a disinfettare 850.000 computer individuali in pochi minuti.

È stato un enorme successo per la comunità della sicurezza, ma prima di arrivare a questo, diamo u occhiata a Retadup.

Retadup: un potente downloader ricco di funzioni intelligenti

Una delle poche società di sicurezza che hanno prestato particolare attenzione a Retadup è Trend Micro, che ha pubblicato alcuni articoli tecnici nel 2017 e nel 2018. Al epoca, il malware era al centro di numerosi attacchi diversi contro obiettivi grandi e piccoli, ed è stato usato per qualsiasi cosa, dal mining di criptovaluta al furto di informazioni.

Più di recente, Retadup ha attirato attenzione dei ricercatori Avast, che hanno affermato che alcuni utenti del Sud America sono stati infettati nel arco di pochi mesi. In questa campagna, il malware è stato principalmente utilizzato per il download e attivazione di un minatore di criptovaluta, anche se gli esperti hanno sottolineato che lo hanno visto anche distribuire il ransomware Stop e il ladro di password Arkei. I ricercatori di Avast hanno raccolto alcuni campioni, li hanno analizzati attentamente e si sono resi conto che, con un piccolo aiuto da parte delle autorità competenti, potrebbero essere in grado di affrontare un colpo piuttosto significativo per intera operazione.

Avast collabora con la polizia francese per abbattere Retadup

Dopo aver attentamente monitorato il modo in cui i PC infetti da Retadup ricevono i comandi dal infrastruttura di backend dei criminali, gli esperti di Avast hanno scoperto che, nonostante tutta la sua raffinatezza, Retadup aveva un grave difetto di progettazione nel protocollo di comunicazione C&C. Se sfruttato, questo difetto avrebbe permesso agli esperti di eseguire uno script di disinfezione e rimuovere Retadup (e tutte le tracce lasciate da esso) dai computer di centinaia di migliaia di utenti. L'unica cosa di cui avevano bisogno era l'accesso a un server C&C situato in Francia. Per ottenerlo, si sono messi in contatto con la C3N, l'unità di lotta alla criminalità informatica della polizia francese e hanno chiesto assistenza.

operazione è stata piuttosto delicata. Gli esperti di Avast dovevano dare u occhiata più da vicino a tutto ciò che era sul server C&C prima di poter scrivere ed eseguire lo script. Allo stesso tempo, era fondamentale che gli operatori di malware non avessero idea di cosa stesse succedendo. Se lo avessero saputo, avrebbero deciso che se operazione Retadup stava per finire, si sarebbe conclusa con un botto, e invece del minatore di criptovaluta relativamente innocuo, avrebbero lasciato cadere il ransomware su centinaia di migliaia di computer. La furtività, quindi, era della massima importanza.

Il provider di hosting che gestisce il server C&C ha creato u istantanea del disco rigido e lo ha consegnato alla polizia francese che, a sua volta, lo ha trasmesso agli esperti di Avast. Anche questo sembra più facile di quello che è. La società di hosting ha dovuto creare istantanea senza avvisare gli autori di malware e doveva anche assicurarsi che la privacy delle persone fosse protetta, il che significava consentire ai ricercatori di Avast di accedere solo a parti specifiche del C&C. Quando gli esperti hanno analizzato il server, hanno visto tracce di u infezione da malware. Si è scoperto che ironicamente, gli autori di Retadup erano stati abbastanza negligenti da infettarsi con un altro ceppo di software dannoso.

Molto duro lavoro in seguito, lo script di disinfezione è stato eseguito ed è stato messo su un server che avrebbe dovuto sostituire C&C e interrompere Retadup. Alla fine, a luglio, la polizia francese ha ricevuto le autorizzazioni necessarie, i server sono stati cambiati e in pochi secondi sono state rimosse diverse migliaia di infezioni da Retadup. Il resto del infrastruttura C&C si trovava negli Stati Uniti, il che significava che anche l'FBI doveva essere coinvolto. Dopo che i server sono stati rimossi, gli autori del malware non hanno avuto modo di comunicare con il loro worm.

Retadup non funziona, ma è uscito?

Rispetto al ransomware o u operazione di furto di informazioni, il mining di criptovaluta sarà sempre più un inconveniente che altro. Tuttavia, abbattere una così grande botnet di dispositivi infetti da malware è sempre una buona notizia. Sfortunatamente, è ancora troppo presto per dire se Retadup è fuori per sempre.

Se i ricercatori di Avast riescono a trovare il difetto nel protocollo di comunicazione, lo possono fare anche gli autori del malware. E se lo risolvono, ricostruire infrastruttura C&C e riavviare l'operazione non dovrebbe essere troppo difficile.