Вредоносное ПО делает миллионы побежденными из-за недостатка дизайна

Ионут Илашку
  • 28 августа 2019 г.
  • 12:47 вечера
  • 0

Господство ботнета Retadup над более чем 850 000 систем подошло к концу, поскольку его сервер управления и контроля (C2) был уничтожен исследователями в области безопасности от производителя антивирусов Avast, работающего с французской национальной жандармерией.

Исследователи утверждают, что ботнет в основном использовался для криптографии, но также распространял Стоп-вымогатель и похититель информации Arkei.

Обработчик ботнетов мог заработать миллионы

Неясно, сколько денег заработали оператор (ы), но один адрес Monero, который Avast обнаружил на Retadup C2, показывает прибыль за месяц выше 4200 (XMR 53,72).

Однако эта цифра представлена ​​только одним пулом майнинга, а файлы конфигурации показывают, что оператор использовал и другие. Хотя предполагаемый ежемесячный доход неясен, ожидается, что он будет намного больше этого.

Французский общественный радиоканал France Inter опубликовал изображение Жана-Доминика Нолье, руководителя Центра борьбы с киберпреступностью (C3N) Французской национальной жандармерии, обсуждая взлом Retadup, который предполагает огромные прибыли для операторов бот-сетей.

В интервью по этому вопросу Ноллет сказал, что операторы зарабатывали «несколько миллионов евро» каждый год, начиная с 2016 года.

Автор оставляет очевидные следы

Похожие записи

Команды Microsoft ежедневно превышают 13 миллионов... Microsoft Teams была запущена еще в 2017 году, чтобы взять Slack. В отличие от этого, Slack имеет более 10 миллионов ежедневно активных пользовате...
Сотрудникам AT — T было подкуплено более 1 м... Сотрудники ATT якобы брали взятки в размере 1 млн долларов, чтобы разблокировать миллионы телефонов В понедельник Министерство юстиции США сообщило, ...
Доходы от рекламы в киберспорте США превысят 200 м... Согласно отчету, опубликованному в четверг, конкурентные доходы от рекламы видеоигр в Соединенных Штатах к 2020 году превысят 200 миллионов долларов. ...

Подробная информация об обработчиках ботнета в настоящее время не является общедоступной, но, начиная с домена C2, опубликованного Avast, один исследователь смог найти информацию об авторе ботнета.

после изучения отчета по avast (https://t.co/NA5Sbb4v7q)
мы начали изучать ccs, участвующие во взломе. pic.twitter.com/VQ5A4KuylL

— Под Нарушением (@underthebreach) 28 августа 2019

За короткий промежуток времени исследователь обнаружил номер телефона, адрес электронной почты и профиль Facebook, кто-то утверждает, что является разработчиком Retadup.

Человек, похоже, 26-летний, который хвастался своим достижением с помощью сообщений, показывающих огромное количество жертв. Сообщение от ноября 2016 года хвастается о количестве жертв 150 000.

27 апреля 2018 года кто-то, претендующий на авторство ботнета, опубликовал снимок с управляющего сервера, показывающий около 200 000 машин, зараженных Retadup.

По иронии судьбы, изображение было в ответ на первое исследование Trend Micro по вредоносным программам. Исследователи определили, что аккаунт в Твиттере принадлежал автору, а информация была подлинной.

Большинство жертв в Латинской Америке

Публичная информация о Retadup появилась в середине 2017 года, когда выяснилось, что он распространяет информационный украденный среди больниц в Израиле. Это был исполняемый файл для обновления Windows.

Похожие записи

Microsoft выплатила миллионы в прошлом году... Microsoft выплатила миллионы в прошлом году Софтверный гигант заплатил 2 млн исследователям безопасности за поиск ошибок в своих продуктах Программа...
Более 112 миллионов человек играют в Minecraft в м... Minecraft был приобретен технологическим гигантом Microsoft в 2014 году за 2,5 миллиарда долларов. Популярность видеоигры Майнкрафт растет, и Microso...
Сотрудникам AT — T было подкуплено более 1 м... Сотрудники ATT якобы брали взятки в размере 1 млн долларов, чтобы разблокировать миллионы телефонов В понедельник Министерство юстиции США сообщило, ...

Основной вредоносной программой, однако, был бэкдор с возможностями самораспространения. Его набор функций включал в себя создание снимков экрана, установку кейлоггера, запуск / перезапуск / остановку процессов, завершение работы, перезапуск или выход из системы.

В своем сегодняшнем блоге Аваст говорит, что большинство жертв Retadup были в испаноговорящих странах, а Перу лидирует в этой группе с более чем 320 000 заражений. В целом вредоносное ПО скомпрометировало компьютеры в 140 странах.

Недостаток дизайна сбивает ботнет

Отказ от инфраструктуры Redatup стал возможен из-за ошибки проектирования, обнаруженной Avast в протоколе связи ботнета. После того, как они приняли C2, ошибка позволила исследователям очистить зараженные хосты без вмешательства пользователя.

Хотя жертв было всего несколько сотен французов, большая часть инфраструктуры ботнета была расположена во Франции, поэтому с властями страны связались и представили решение.

После того, как прокурор утвердил план, жандармерия заменила злонамеренный сервер C2 версией, «которая делала связанные случаи самоуничтожения Retadup».

«В самую первую секунду его активности к нему подключилось несколько тысяч ботов для получения команд с сервера». стой

Всего было нейтрализовано более 850 000 уникальных инфекций. Большинство машин работали под управлением Windows 7 и имели два или четыре ядра. Более 85% систем работали с антивирусным решением по умолчанию.

Читайте также: