O que é o Retadup e como ele pode comprometer a segurança de suas senhas?
O Retadup é uma das famílias de malware que nunca conseguiu chamar a atenção da mídia convencional, como o Trickbot , por exemplo. Isso parece um pouco estranho, porque, embora nunca tenha sido o worm do Windows mais amplamente difundido, não houve escassez de vítimas. Não há prova melhor disso do que o fato de que, quando os pesquisadores de segurança da Avast colaboraram com a Polícia Francesa para assumir um dos servidores de Comando e Controle (C&C) da Retadup, eles conseguiram desinfetar os impressionantes 850 mil computadores individuais em questão de minutos.
Foi um enorme sucesso para a comunidade de segurança, mas antes de chegarmos a isso, vamos dar uma olhada no que é o Retadup.
Retadup - um poderoso downloader repleto de recursos inteligentes
Uma das poucas empresas de segurança que prestaram atenção significativa ao Retadup é a Trend Micro, que publicou alguns artigos técnicos em 2017 e 2018. Naquela época, o malware estava no centro de vários ataques diferentes contra grandes e pequenos alvos, e foi usado para qualquer coisa, desde mineração de criptomoedas até roubo de informações.
Mais recentemente, o Retadup chamou a atenção dos pesquisadores da Avast, que disseram que muitos usuários na América do Sul foram infectados no espaço de alguns meses. Nesta campanha, o malware foi usado principalmente para download e ativação de um mineiro criptomoeda, embora os especialistas fizeram ressaltar que eles também viu distribuir o Parar ransomware, bem como o ladrão de senhas Arkei. Os pesquisadores da Avast se apossaram de algumas amostras, analisaram-nas cuidadosamente e perceberam que, com uma pequena ajuda dos órgãos competentes da lei, eles poderiam ser capazes de dar um golpe bastante significativo em toda a operação.
Avast se une à polícia francesa para derrubar o Retadup
Após monitorar de perto como os PCs infectados com o Retadup recebem comandos da infraestrutura de back-end dos criminosos, os especialistas da Avast descobriram que, apesar de toda a sua sofisticação, o Retadup apresentava uma falha grave no projeto do protocolo de comunicação da C&C. Se explorada, essa falha teria permitido aos especialistas executar um script de desinfecção e remover o Retadup (e todos os vestígios deixados por ele) dos computadores de centenas de milhares de usuários. A única coisa que eles precisavam era acessar um servidor C&C localizado na França. Para obtê-lo, eles entraram em contato com o C3N - a unidade de combate ao crime cibernético da Polícia Francesa e pediram assistência.
A operação foi bastante delicada. Os especialistas da Avast precisaram examinar mais de perto tudo o que havia no servidor C&C antes que pudessem escrever e executar o script. Ao mesmo tempo, era crucial que os operadores de malware não tivessem ideia do que estava acontecendo. Se eles soubessem, teriam decidido que se a operação Retadup terminasse com um estrondo, e em vez do minerador de criptomoedas relativamente inofensivo, eles teriam descartado ransomware em centenas de milhares de computadores. Discrição, portanto, era de extrema importância.
O provedor de hospedagem que opera o servidor C&C criou um instantâneo do disco rígido e o entregou à Polícia Francesa, que, por sua vez, o transmitiu aos especialistas da Avast. Isso também parece mais fácil do que é. A empresa de hospedagem teve que criar o instantâneo sem alertar os autores do malware e também garantir que a privacidade das pessoas estivesse protegida, o que significava dar aos pesquisadores da Avast acesso apenas a partes específicas da C&C. Quando os especialistas analisaram o servidor, eles viram vestígios de uma infecção por malware. Acontece que, ironicamente, os autores de Retadup foram descuidados o suficiente para se infectar com outra variedade de software malicioso.
Muito trabalho mais tarde, o script de desinfecção foi concluído e foi colocado em um servidor que deveria substituir o C&C e interromper o Retadup. Eventualmente, em julho, a Polícia Francesa recebeu as permissões necessárias, os servidores foram trocados e, em segundos, vários milhares de infecções por Retadup foram removidas. O restante da infraestrutura de C&C estava localizado nos EUA, o que significava que o FBI também precisava se envolver. Depois que os servidores foram desativados, os autores do malware não tiveram mais como se comunicar com o worm.
O retadup está inoperante, mas está fora?
Comparado ao ransomware ou a uma operação de roubo de informações, a mineração de criptomoedas sempre será mais inconveniente do que qualquer outra coisa. No entanto, derrubar um botnet tão grande de dispositivos infectados por malware é sempre uma boa notícia. Infelizmente, ainda é muito cedo para dizer se o Retadup está pronto para sempre.
Se os pesquisadores da Avast podem encontrar a falha no protocolo de comunicação, os autores do malware também podem. E se eles resolverem, reconstruir a infraestrutura de C&C e reiniciar a operação não deve ser muito difícil.
