retadup

RETADUP: La Gendarmerie Nationale a désinfecté plus de 850 000 PC

La Gendarmerie Nationale a annoncé le démantèlement du botnet RETADUP et la désinfection de plus de 850 000 ordinateurs dans le monde.

Un peu plus tôt cette année, les chercheurs en sécurité d’Avast, qui surveillaient l’activité du botnet RETADUP, ont découvert une faille de conception dans le protocole C&C du malware qui pouvait être exploitée pour supprimer le malware sur l’ordinateur des victimes sans exécuter de code additionnel.

Cependant, pour faire cela, il fallait que les chercheurs prennent le contrôle du serveur C&C du malware, lequel était hébergé chez un hébergeur se trouvant en Île-de-France.

Les chercheurs ont donc contacté le Centre de Lutte contre les Criminalités Numériques (C3N) de la Gendarmerie Nationale à la fin du mois de Mars 2019. Il ont partagé leurs trouvailles et ont proposé un plan pour mettre fin au virus RETADUP et protéger les victimes.

Les autorités Françaises ont pris le contrôle du serveur C&C de RETADUP en Juillet et l’ont remplacé par leur serveur de désinfection qui utilise la faille que nous avons mentionné plus haut pour que le virus RETADUP s’auto-détruise sur les ordinateurs infectés.

“Dans les premières secondes d’activité, plusieurs milliers de robots se sont connectés pour venir chercher des commandes sur le serveur. Le serveur de désinfection leur a répondu et les a désinfecté, en utilisant la faille de conception du protocole C&C,” ont expliqué les chercheurs dans un article.

Selon Jean-Dominique Nollet, chef du Centre de lutte contre la criminalité numérique (C3N) à Cergy Pontoise , les autorités garderont le serveur de désinfection en ligne pendant quelques mois encore car certains ordinateurs infectés ne se sont pas encore connecté au serveur.

RETADUP Malware

Le FBI a aussi été contacté car certaines parties de l’infrastructure C&C de RETADUP se trouvent aux Etats Unis. Le FBI les a démantelé le 8 Juillet, les auteurs du malware n’ont donc plus aucun contrôle sur leurs bots.

“Comme c’était la responsabilité du serveur C&C de donner des jobs de minage aux bots, aucun des bots n’a reçu de nouveau job à exécuter après ce démantèlement,” ont déclaré les chercheurs. “Cela veut dire qu’ils ne pouvaient plus utiliser les ressources des ordinateurs des victimes et que les auteurs du malware ne recevait plus de gain financier.”

Que sait-on de RETADUP?

Créé en 2015 et d’abord aperçu en Amérique Latine, RETADUP est un malware Windows multi-fonctionnel qui est capable de miner de la crypto-monnaie en utilisant les ressources des machines infectées. Il peut aussi permettre de lancer des attaques de déni de service ou collecter des informations.

Il y’a plusieurs variantes de RETADUP, certaines d’entre elles ont été écrites en Autoit ou en utilisant AutoHotkey. Le malware a été conçu pour être persistant sur les machines Windows, installer des payloads additionnels sur les machines infectées et se propager tout seul.

RETADUP Malware

En plus des malwares de crypto-monnaie, RETADUP peut aussi distribué le ransomware Stop et le malware Arkei qui permet de subtiliser les mots de passe.

“Le serveur C&C contenait aussi un contrôleur .NET pour un RAT écrit en AutoIt qui se nomme HoudRat. En jetant un œil aux échantillons de HoudRat, il est clair que HoudRat est juste une variante de Retadup plus riche en fonctionnalités et moins répandue,” ont affirmé les chercheurs après avoir analyser le serveur C&C.

“HoudRat est capable d’exécuter des commandes arbitraires, enregistrer les frappes de clavier, faire des captures d’écran, subtiliser les mots de passe, télécharger des fichiers arbitraire etc…”

Au moment de la publication de cet article, les autorités ont neutralisé plus de 850 000 infections uniques de RETADUP. La plupart des victimes se trouvent en Amérique Latine.

Si cet article vous a plu, jetez un œil à notre précédent article.