Französische Polizei entfernt RETADUP-Malware von 850.000 Geräten

Noch eine kurze Nachricht von Ende August 2019: Die französische Polizei hat ein Botnet, welches die RETADUP-Malware verteilt hat, abgeschaltet. Vorher wurde dafür gesorgt, dass 850.000 infizierte Geräte über die Command & Control-Server von der Malware bereinigt wurden.

Das ist ein bemerkenswerter Schritt, dass Polizeibehörden nicht nur Bot-Netze abschalten, sondern auch die infizierten Geräte von Malware befreien. Meist wird ein solcher Schritt aus rechtlichen Gründen vermieden. Die Meldung über die erfolgreiche Abschaltung des Botnetzes stammt bereits vom 28. August 2019.

#BellesAffaires #Cybercriminalité
La #gendarmerie démantèle l'un des plus gros réseaux d'ordinateurs piratés au monde ! En lien avec le #FBI, les #cybergendarmes parviennent à "désinfecter" à distance plus de 850 000 ordinateurs. Une #PremièreMondiale !

— Gendarmerie nationale (@Gendarmerie) August 28, 2019

Die englischsprachige Meldung mit technischen Details wurde über diesen Tweet angekündigt.

Now the technical article about the #botnet #RETADUP !
Thanks a lot to @avast_antivirus for this awsome collaboration !https://t.co/bSKdHNMGGo
CC @AvastFrance @ANSSI_FR

— failsafe (@failsafe_0x4D5A) August 28, 2019

Einige Details zu RETADUP

Retadup ist ein bösartiger Wurm, der Windows-Computer befällt und vor allem in Lateinamerika verbreitet ist. Aufgedeckt wurde RETADUP von Sicherheitsforschern der Firma Avast. Die nachfolgende Karte stammt von Avast, und zeigt die Verteilung der Infektionen.

(RETADUP Infektionen, Quelle: avast)

Das Ziel der Malware ist es, sich dauerhaft auf den Computern der Opfer einzunisten, sich von dort weiter zu verbreiten und zusätzliche Malware-Nutzlasten auf infizierten Rechnern zu installieren.

In den allermeisten Fällen ist die installierte Nutzlast ein Crypt-Miner, der Krypto-Geld für die Cyber-Kriminellen schürfen soll. In einigen Fällen haben die Sicherheitsforscher jedoch auch beobachtet, wie Retadup die Stop-Ransomware und den Arkei-Passwort-Stehler verteilt hat.

Informationen zur Aushebung des Botnet

Die Avast Sicherheitsforscher beobachteten das Botnet und den RETADUP -Wurm seit März 2019. Dann entdeckte die Gruppe eine Designschwäche im Protokoll, mit dem die Malware mit den Command & Control-Servern (C&C-Servern) kommuniziert. Schnell war klar, das die Schwachstelle ausgenutzt werden könnte, um die Malware von den Computern der Opfer zu entfernen, ohne einen Zusatzcode auszuführen (in meinen Augen aus rechtlichen Erwägungen wohl der springende Punkt).

Um dies zu erreichen, mussten die Forscher jedoch die Kontrolle über den C&C-Server der Malware haben. Dieser C&C-Server stand jedoch bei einem Hosting-Provider in der Region Ile-de-France im Norden von Zentral-Frankreich. Deshalb kontaktierten die Forscher Ende März dieses Jahres das Cybercrime Fighting Center (C3N) der französischen Nationalen Gendarmerie. Sie teilten ihre Ergebnisse mit und schlugen einen geheimen Plan zur Beendigung des RETADUP-Virus und zum Schutz der Opfer vor.

Da ein Teil der Infrastruktur des Botnet in den USA angesiedelt war, kontaktierte die französische Polizei auch das FBI. Diese schalteten darauf hin die betreffenden Server in den USA ab. Am 8. Juli 2019 verloren die Cyber-Kriminellen die Kontrolle über ihr Botnet. Gemäß dem vorgeschlagenen Plan übernahmen die französischen Behörden im Juli die Kontrolle über den RETADUP C&C-Server. Dieser wurde dann durch einen vorbereiteten Desinfektions-Server ersetzten. Dieser nutzte den Designfehler im Kommunikationsprotokoll aus und wies die Malware auf allen infizierten Clients, die diesen Server kontaktierten, an, sich selbst zu zerstören.

Bereits ab der ersten Sekunde kontaktierten mehrere tausend Bots den Server, um sich neue Befehle abzuholen. Alle Bots erhielten dann die Anweisung, die Malware zu zerstören. Bis zur Veröffentlichung dieses AVAST-Artikels waren 850.000 infizierte Rechner desinfiziert. Ach, noch was: Interessant ist die Verteilung der (per AutoIt verteilten) Malware auf die diversen Windows-Versionen.

(RETADUP Windows-Verteilung, Quelle: avast)

Details zum Botnet und zu der Aktion sind in diesem englischsprachigen Avast Blog-Beitrag beschrieben.