Avast colabora com polícias internacionais para neutralizar ataques de ransomware

0

A Avast colaborou com o Centro de Combate ao Cybercrime (C3N) da Gendarmerie, a polícia francesa, a qual derrubou um worm malicioso, conhecido como Retadup, que infectou centenas de milhares de máquinas Windows na América Latina. Até o momento, a colaboração neutralizou 850 mil infecções únicas.

Este worm distribui um minerador maligno de criptomoedas e, em casos isolados, distribui um ransomware chamado Stop e um roubador de senhas intitulado Arkei nos computadores das vítimas. A cooperação também conseguiu substituir o servidor de comando e controle maligno (C&C) por um servidor de desinfecção que causou a autodestruição das partes conectadas do malware.

Durante a análise, a equipe de Inteligência de Ameaças da Avast descobriu que o Retadup se espalhava principalmente por download de arquivos LNK maliciosos em drives conectados, na esperança de que as pessoas compartilhem os arquivos malignos com outros usuários.

O arquivo LNK é criado com o mesmo nome de uma pasta já existente, nomeado como "Copiar fpl.lnk" anexado a ele. Dessa forma, tenta induzir os usuários a pensar que estão abrindo seus próprios arquivos, quando na realidade estão se infectando com o malware. Quando executado em um computador, o arquivo LNK executa o script malicioso do Retadup.

Enquanto analisavam o Retadup, a equipe de Inteligência de Ameaças da Avast identificou uma falha de design no protocolo C&C, que permitiria a remoção do malware dos computadores das vítimas e o controle do servidor C&C. A infraestrutura C&C do Retadup estava localizada principalmente na França.

Então, a equipe entrou em contato com o C3N no final de março para compartilhar suas descobertas. Em 2 de julho de 2019, o órgão francês substituiu o servidor C&C mal-intencionado por um servidor de desinfecção preparado, que fazia com que as instâncias conectadas do Retadup se autodestruíssem.

No primeiro segundo de atividade, vários milhares de bots foram conectados a ele, buscando os comandos do servidor. O servidor de desinfecção respondeu a eles e desinfectou-os, abusando da falha de design do protocolo C&C. Isso possibilitou o fim do Retadup e a proteção não apenas dos usuários da Avast, mas de todos, sem necessidade de ação das vítimas.

Algumas partes da infraestrutura C&C também estavam localizadas nos EUA. A Gendarmerie alertou o FBI que os retirou e, em 8 de julho de 2019, os autores do malware não tinham mais controle sobre os bots de malware. Como era função do servidor C&C fornecer trabalhos de mineração para os bots, nenhum deles recebeu nenhuma nova tarefa para executar após essa remoção. O ataque havia acabado.

DEIXE UMA RESPOSTA

Por favor digite seu comentário!
Por favor, digite seu nome aqui

This site is protected by reCAPTCHA and the Google Privacy Policy and Terms of Service apply.