Los investigadores de Avast ayudan a neutralizar 850,000 infecciones únicas de Retadup
Avast, líder mundial en productos de seguridad digital, ha colaborado con el Centro de Lucha Contra el Cibercrimen (C3N) de la Gendarmería Nacional Francesa para abatir un gusano malicioso que ha infectado a cientos de miles de equipos usuarios de Windows en América Latina. El gusano, conocido como Retadup, distribuía un minero de criptomonedas malicioso y, en algunos casos, también el ransomware Stop y el roba contraseñas Arkei a las computadoras de las víctimas. Hasta la fecha, la colaboración de Avast con el C3N ha neutralizado 850,000 infecciones únicas de Retadup (debajo encontrará una lista de los 15 principales países en los que se neutralizó dicha amenaza). El servidor de comando y control malicioso (C&C) fue reemplazado por un servidor de desinfección que ha causado que las piezas de malware conectadas se autodestruyan.
Avast, líder mundial en productos de seguridad digital, ha colaborado con el Centro de Lucha Contra el Cibercrimen (C3N) de la Gendarmería Nacional Francesa para abatir un gusano malicioso que ha infectado a cientos de miles de equipos usuarios de Windows en América Latina. El gusano, conocido como Retadup, distribuía un minero de criptomonedas malicioso y, en algunos casos, también el ransomware Stop y el roba contraseñas Arkei a las computadoras de las víctimas. Hasta la fecha, la colaboración de Avast con el C3N ha neutralizado 850,000 infecciones únicas de Retadup (debajo encontrará una lista de los 15 principales países en los que se neutralizó dicha amenaza). El servidor de comando y control malicioso (C&C) fue reemplazado por un servidor de desinfección que ha causado que las piezas de malware conectadas se autodestruyan.
Durante su análisis, el equipo de Avast Threat Intelligence descubrió que Retadup se propaga principalmente al liberar archivos LNK maliciosos en las unidades conectadas, esperando que las personas compartan los archivos maliciosos con otros usuarios. El archivo LNK se crea con el mismo nombre que una carpeta ya existente, con un texto como "Copiar fpl.lnk" adjunto. De esta manera, engaña a los usuarios para que piensen que están abriendo sus propios archivos, cuando en realidad se están infectando con malware. Cuando se ejecuta en una computadora, el archivo LNK ejecuta el script malicioso de Retadup. "Los ciberdelincuentes detrás de Retadup tenían la capacidad de ejecutar malware arbitrario adicional en cientos de miles de computadoras en todo el mundo", dice Jan Vojt?šek, Ingeniero de Avast. "Nuestro principal objetivo era evitar que ejecutara malware destructivo a gran escala y evitar que los ciberdelincuentes comprometieran más a las computadoras infectadas".
Mientras analizaba Retadup, el equipo de Avast Threat Intelligence, identificó una falla de diseño en el protocolo de C&C que permitiría eliminar el malware de las computadoras de las víctimas, con la adquisición del servidor de C&C. La infraestructura de C&C de Retadup se encontraba principalmente en Francia, por lo que el equipo contactó al C3N de la Gendarmería Nacional Francesa a finales de marzo para compartir sus hallazgos. El 2 de julio de 2019, C3N reemplazó el servidor malicioso de C&C con un servidor de desinfección preparado que hizo que las instancias conectadas de Retadup se autodestruyeran.
En el primer segundo de su actividad, varios miles de bots se conectaron a él para obtener comandos del servidor. El servidor de desinfección respondió a ellos y los desinfectó, aprovechando la falla de diseño del protocolo C&C. Esto permitió poner fin a Retadup y proteger a todos los usuarios (no solo a los usuarios de Avast) sin necesidad de acción alguna por parte de la víctima. Algunas partes de la infraestructura de C&C también se ubicaron en los EE.UU. La Gendarmería Francesa alertó al FBI, quien las eliminó, y el 8 de julio de 2019 los autores del malware ya no tenían ningún control sobre los bots del malware.
Dado que era responsabilidad del servidor de C&C dar trabajos de minería a los bots, ninguno de los bots recibió ningún nuevo trabajo de minería para ejecutar después de esta acción. Esto hizo que ya no pudieran utilizar el poder de los equipos de cómputo de sus víctimas y que los autores del malware dejaran de recibir ganancias monetarias por parte de la minería.
Los 15 principales países donde Retadup fue neutralizado en PC (entre el 2 de julio de 2019 y el 19 de agosto de 2019)
1. Perú: 322,340
2. Venezuela: 130,469
3. Bolivia: 83,858
4. Ecuador: 64,466
5. México: 57,527
6. Colombia: 27,646
7. Argentina: 23,671
8. Cuba: 14,785
9. Guatemala: 12,940
10. Israel: 11,337
11. Uzbekistan: 8,944
12. Estados Unidos: 8,349
13. Brasil: 7,324
14. Rusia: 6,520
15. Madagascar: 5,545
