2

850 000 infekcji. Policja znalazła ogromny botnet i wyciągnęła wtyczkę

850 000 maszyn uczestniczyło w botnecie kopiącym kryptowaluty dla cyberprzestępców. Na trop procederu wpadli francuscy policjanci wraz z pionem zajmującym się przestępstwami w cyberprzestrzeni: udało się wytropić jego źródło i udało się dokonać jego wyłączenia. Eksperci ds. cyberbezpieczeństwa zidentyfikowali malware odpowiedzialny za wciąganie komputerów do botnetów jako Retadup. Podstawowym celem Retadup było korzystanie z mocy […]

850 000 maszyn uczestniczyło w botnecie kopiącym kryptowaluty dla cyberprzestępców. Na trop procederu wpadli francuscy policjanci wraz z pionem zajmującym się przestępstwami w cyberprzestrzeni: udało się wytropić jego źródło i udało się dokonać jego wyłączenia. Eksperci ds. cyberbezpieczeństwa zidentyfikowali malware odpowiedzialny za wciąganie komputerów do botnetów jako Retadup.

Podstawowym celem Retadup było korzystanie z mocy obliczeniowej ofiary do kopania kryptowalut, jednak cyberzagrożenie kryło w sobie mechanizmy pozwalające na wdrożenie dowolnego złośliwego kodu na maszynie: co więcej, udało się zidentyfikować elementy pozwalające zachowywać się Retadup jak typowy robak, rozprzestrzeniając się z komputera na komputer. Złośliwe oprogramowanie rozprzestrzeniło się właściwie na całym świecie, ze szczególnym uwzględnieniem Stanów Zjednoczonych, Rosji, środkowej i południowej Afryki.

botnet

Avast pomógł w wyłączeniu botnetu

Wysiłki policjantów spełzłyby na niczym, gdyby nie Avast, który znalazł podatność w serwerze C&C Retadupa. Firma tajemniczo podaje, że udało się usunąć malware z komputerów ofiar bez wysyłania do nich jakiegokolwiek kodu. Co ciekawe, większość infrastruktury tego botnetu znajdowała się fizycznie we Francji, dlatego też do akcji zaangażowano tamtejsze służby.

Czytaj także: Jak Rosjanie chcieli „zhakować” Ukrainę?

Nie wiadomo ile cyberprzestępcy zarobili na tym procederze, nie wydaje się również, by w działaniach śledczych ktokolwiek został aresztowany. Najprawdopodobniej udało się jedynie zdalnie wyłączyć botnet unieszkodliwiając tym samym polegający na serwerze C&C malware. Nie oznacza to jednak, że cyberprzestępcy związani z tą sprawą nie są aktywni.

Pojawiają się także pierwsze domysły na temat możliwych związków cyberprzestępców związanych z Retadup. Jeden ze śladów ma wskazywać na Koreę Północną, która w ostatnich latach zyskała mnóstwo „mocy”, również dzięki bliskim stosunkom z Chinami i Rosją. Państwo Środka i FR natomiast dysponują doskonałymi ekspertami ds. cyberbezpieczeństwa.