Französische Polizei entfernt RETADUP-Malware von 850.000 Geräten

Noch eine kurze Nachricht von Ende August 2019: Die französische Polizei hat ein Botnet, welches die RETADUP-Malware verteilt hat, abgeschaltet. Vorher wurde dafür gesorgt, dass 850.000 infizierte Geräte über die Command & Control-Server von der Malware bereinigt wurden.


Anzeige

Das ist ein bemerkenswerter Schritt, dass Polizeibehörden nicht nur Bot-Netze abschalten, sondern auch die infizierten Geräte von Malware befreien. Meist wird ein solcher Schritt aus rechtlichen Gründen vermieden. Die Meldung über die erfolgreiche Abschaltung des Botnetzes stammt bereits vom 28. August 2019.

Die englischsprachige Meldung mit technischen Details wurde über diesen Tweet angekündigt.

Einige Details zu RETADUP

Retadup ist ein bösartiger Wurm, der Windows-Computer befällt und vor allem in Lateinamerika verbreitet ist. Aufgedeckt wurde RETADUP von Sicherheitsforschern der Firma Avast. Die nachfolgende Karte stammt von Avast, und zeigt die Verteilung der Infektionen.

RETADUP Infektionen
(RETADUP Infektionen, Quelle: avast)

Das Ziel der Malware ist es, sich dauerhaft auf den Computern der Opfer einzunisten, sich von dort weiter zu verbreiten und zusätzliche Malware-Nutzlasten auf infizierten Rechnern zu installieren.


Anzeige

In den allermeisten Fällen ist die installierte Nutzlast ein Crypt-Miner, der Krypto-Geld für die Cyber-Kriminellen schürfen soll. In einigen Fällen haben die Sicherheitsforscher jedoch auch beobachtet, wie Retadup die Stop-Ransomware und den Arkei-Passwort-Stehler verteilt hat.

Informationen zur Aushebung des Botnet

Die Avast Sicherheitsforscher beobachteten das Botnet und den RETADUP -Wurm seit März 2019. Dann entdeckte die Gruppe eine Designschwäche im Protokoll, mit dem die Malware mit den Command & Control-Servern (C&C-Servern) kommuniziert. Schnell war klar, das die Schwachstelle ausgenutzt werden könnte, um die Malware von den Computern der Opfer zu entfernen, ohne einen Zusatzcode auszuführen (in meinen Augen aus rechtlichen Erwägungen wohl der springende Punkt).

Um dies zu erreichen, mussten die Forscher jedoch die Kontrolle über den C&C-Server der Malware haben. Dieser C&C-Server stand jedoch bei einem Hosting-Provider in der Region Ile-de-France im Norden von Zentral-Frankreich. Deshalb kontaktierten die Forscher Ende März dieses Jahres das Cybercrime Fighting Center (C3N) der französischen Nationalen Gendarmerie. Sie teilten ihre Ergebnisse mit und schlugen einen geheimen Plan zur Beendigung des RETADUP-Virus und zum Schutz der Opfer vor.

Da ein Teil der Infrastruktur des Botnet in den USA angesiedelt war, kontaktierte die französische Polizei auch das FBI. Diese schalteten darauf hin die betreffenden Server in den USA ab. Am 8. Juli 2019 verloren die Cyber-Kriminellen die Kontrolle über ihr Botnet. Gemäß dem vorgeschlagenen Plan übernahmen die französischen Behörden im Juli die Kontrolle über den RETADUP C&C-Server. Dieser wurde dann durch einen vorbereiteten Desinfektions-Server ersetzten. Dieser nutzte den Designfehler im Kommunikationsprotokoll aus und wies die Malware auf allen infizierten Clients, die diesen Server kontaktierten, an, sich selbst zu zerstören.

Bereits ab der ersten Sekunde kontaktierten mehrere tausend Bots den Server, um sich neue Befehle abzuholen. Alle Bots erhielten dann die Anweisung, die Malware zu zerstören. Bis zur Veröffentlichung dieses AVAST-Artikels waren 850.000 infizierte Rechner desinfiziert. Ach, noch was: Interessant ist die Verteilung der (per AutoIt verteilten) Malware auf die diversen Windows-Versionen.

RETADUP Windows-Verteilung
(RETADUP Windows-Verteilung, Quelle: avast)

Details zum Botnet und zu der Aktion sind in diesem englischsprachigen Avast Blog-Beitrag beschrieben.


Anzeige

Dieser Beitrag wurde unter Sicherheit abgelegt und mit , verschlagwortet. Setze ein Lesezeichen auf den Permalink.

2 Antworten zu Französische Polizei entfernt RETADUP-Malware von 850.000 Geräten


  1. Anzeige
  2. Andreas K. sagt:

    Die Polizei, Dein Freund und Helfer*

    *solange sie die Malware nur entfernt und nicht ersetzt haben ;-)

  3. RUTZ-AhA sagt:

    Die Vorgehensweise der Sicherheitsorgane im Verbund war in diesem Fall ausnahmsweise mal intelligent, aber nicht wirklich schwierig.

    Wenn der Erfolg dauerhaft ist und nicht ausgenutzt wird, wäre direkt ein Lob angebracht.

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht.