El notorio malware Retadup infecta las computadoras y comienza a extraer criptomonedas al agotar la energía del procesador de una computadora. Aunque el malware se utilizó para generar dinero, los operadores de malware fácilmente podrían haber ejecutado otro código malicioso, como spyware o ransomware. El malware también tiene propiedades de gusanos, lo que le permite propagarse de una computadora a otra.
Desde su primera aparición, el malware de minería de criptomonedas se ha extendido por todo el mundo, incluidos EE. UU., Rusia y América Central y del Sur.

Según una publicación de blog que anunciaba la redada, la empresa de seguridad Avast confirmó que la operación fue exitosa.

 

Los autores de Retadup se jactaron en Twitter de su creación

 

Mecanismos de persistencia establecidos por un caso de AutoHotkey de Retadup

 

La empresa de seguridad se involucró después de descubrir una falla de diseño en el servidor de comando y control del malware (C&C). Esa falla, si se explota adecuadamente, «nos habría permitido eliminar el malware de las computadoras de sus víctimas» sin enviar ningún código a las computadoras de las víctimas, dijeron los investigadores.

La explotación habría podido desmantelar la operación, pero los investigadores carecían de la autoridad legal para seguir adelante. Debido a que la mayor parte de la infraestructura del malware se encontraba en Francia, Avast contactó a la policía francesa. Después de recibir el visto bueno de los fiscales en julio, la policía siguió adelante con la operación para tomar el control del servidor y desinfectar las computadoras afectadas.

La policía francesa llamó a la botnet «una de las redes más grandes» de computadoras secuestradas en el mundo.

La operación funcionó obteniendo en secreto una instantánea del servidor de comando y control del malware con la cooperación de su proveedor de alojamiento web. Los investigadores dijeron que tenían que trabajar con cuidado para no ser notados por los operadores del malware, temiendo que los operadores de malware pudieran tomar represalias.

«Los autores de malware distribuían principalmente mineros de criptomonedas, lo que generaba un ingreso pasivo muy bueno«, dijo la compañía de seguridad. «Pero si se hubieran dado cuenta de que estábamos a punto de eliminar Retadup en su totalidad, podrían haber enviado ransomware a cientos de miles de computadoras mientras intentaban extraer su malware para obtener algunas últimas ganancias«.

Contando con una copia del servidor de comando y control malicioso, los investigadores construyeron su propia réplica, que desinfectó las computadoras de las víctimas en lugar de causar infecciones.

«[La policía] reemplazó el servidor malicioso [comando y control] con un servidor de desinfección preparado que hizo que las instancias conectadas de Retadup se auto destruyeran«, dijo Avast en una publicación de blog. “En el primer segundo de su actividad, varios miles de bots se conectaron a él para obtener comandos del servidor. El servidor de desinfección respondió a ellos y los desinfectó, abusando de la falla de diseño del protocolo «.

Al hacerlo, la compañía pudo detener el funcionamiento del malware y eliminar el código malicioso en más de 850.000 computadoras infectadas.

Jean-Dominique Nollet, jefe de la unidad cibernética de la policía francesa, dijo que los operadores de malware generaron criptomonedas por valor de varios millones de euros.

El cierre remoto de una botnet de malware es un logro poco frecuente, pero difícil de llevar a cabo.

Hace varios años, el gobierno de EE. UU. Revocó la Regla 41, que ahora permite a los jueces emitir órdenes de registro e incautación fuera de su jurisdicción. Muchos vieron la medida como un esfuerzo del FBI para llevar a cabo operaciones de piratería remota sin verse obstaculizados por la localidad de la jurisdicción de un juez. Los críticos argumentaron que establecería un precedente peligroso para piratear innumerables computadoras con una sola orden de un juez amigo.

Desde entonces, la regla enmendada se ha utilizado para desmantelar al menos una operación importante de malware, la llamada botnet Joanap, vinculada a piratas informáticos que trabajan para el régimen norcoreano.

Autor: Zack Whittaker
Fuente: Techcrunch

Compartir