بدافزار ماینینگ Retadup با یک میلیون قربانی متوقف شد

توضیحات: خبات کریمی; دسته: اخبار امنیت; 11 شهریور 1398 23:00

کمپانی امنیتی Avast اعلام کرد آنها در همکاری با نهادهای رسمی فرانسه و ایالات متحده موفق شده‌اند یک بد افزار ماینینگ جدید به نام Retadup را متوقف کنند که نزدیک به یک میلیون کامپیوتر را آلوده کرده بود.

بدافزار Retadup که در دسته کرم ها نیز قرار می گیرد، بدون اجازه کاربر از پردازنده سیستم برای استخراج ارزهای دیجیتال و کسب درآمد برای سازنده خود استفاده می‌کند. همچنین Retadup قادر به دانلود و اجرای بدافزارهای دیگر است. Retadup عمدتاً از طریق فایل پیوست ایمیل‌ها، شبکه‌های به اشتراک گذاری فایل و لینک به وب سایت‌های مخرب منتشر شده است.

بدافزار Retadup دست کم 850,000 کامپیوتر را آلوده کرده که عمدتاً در آمریکای لاتین قرار دارند. همچنین Retadup به آمریکا و روسیه نیز گسترش یافته است.

تیم Avast Threat Intelligence در ماه مارس پس از تحلیل کُدها و رفتار Retadup، موفق به شناسایی یک نقص در طراحی پروتکل ارتباطی این بدافزار با سرورهای آن شده بودند که در نهایت از آن برای حذف Retadup از کامپیوترهای قربانی استفاده کردند.

در صورتی که سازندگان بدافزار Retadup متوجه تلاش پلیس فرانسه و کمپانی امنیتی Avast می شدند، ممکن بود سیستم قربانیان را توسط باج افزار فلج کنند، به همین دلیل پژوهشگران Avast Threat Intelligence و پلیس فرانسه با دقت بسیار بالایی عمل کرده اند. در نهایت آنها توانستند یک نسخه جعلی از سرور کنترل Retadup را جایگزین سرور اصلی کنند.

سازندگان Retadup توانسته بودند از طریق ماینینگ با سیستم قربانیان، چند میلیون یورو به دست بیاورند.

از آنجایی که اغلب سرورهای Retadup در فرانسه بوده‌اند، Avast سراغ مراجع رسمی این کشور رفت که در نهایت کنترل سرورها را به دست گرفتند. همچنین با توجه به قرار داشتن برخی از سرورها در آمریکا، FBI هم وارد عمل شده بود.

پس از به دست گرفتن کنترل سرورهای مورد استفاده Retadup، پژوهشگران Avast موفق شدند با فرستادن یک دستورالعمل ویژه به کامپیوترهای آلوده به این بدافزار، به طور خودکار آن را پاک کنند. Avast می‌گوید در بازه 2 ژوئیه تا 19 آگوست بیش از 850,000 کامپیوتر آلوده به سرورهای Retadup متصل بوده اند که در نهایت از وجود این بدافزار پاک شده‌اند.

با توجه به اینکه بدافزار Retadup از زنجیره‌ای از کامپیوترهای قربانی برای دریافت و بازنشر فرامین سازنده آن استفاده می‌کرد، بدون در دست گرفتن کنترل سرورها، امکان متوقف کردن Retadup وجود نداشته است.

هنگامی که Avast از توفق بدافزار Retadup پرده برداشت، سازنده آن در توییتر به رجزخوانی پرداخت. با اینکه تاکنون کسی در ارتباط با بدافزار Retadup بازداشت نشده، اما پژوهشگران امنیتی Under the Breach می گویند به باور آنها یک فلسطینی 26 ساله پشت این بدافزار قرار داشته است.