Avast og politi overtager botnet med 850.000 inficerede computere
Over 850.000 computere var inficeret med et netværk af malware, som nu er blevet overtaget og neutraliseret af it-sikkerhedsvirksomheden Avast og den franske myndighed mod cyberkriminalitet, Le centre de lutte contre les criminalités numériques (C3N).
Det fortæller Avast selv på sin blog.
Der er tale om ormen Retadup, der typisk inficerer Windows-maskiner for at mine kryptovaluta, men også i nogle tilfælde har kunnet stjæle passwords.
Ved at analysere Retadups command-and-control kommunikationsprotokol fandt folk hos Avast ud af, at man let kunne fjerne Retadup fra en inficeret computer, hvis blot de kunne overtage serveren. Da det meste af Retadups infrastruktur stod i Frankrig, blev de franske myndigheder tilknyttet sagen.
Det lykkedes myndighederne at hacke serveren, så både politiet og Avast kunne følge med i, hvad der foregik. Lidt overraskende viste det sig, at serveren også selv var inficeret med en anden type malware, Neshta.
Den 8. juli overtog de endeligt serveren, og siden da har botnettet ikke været en trussel.
Kunne være brugt som ransomware
Selvom hardwaren står i Frankrig, så var botnettet mest udbredt i Sydamerika. Hele 35 pct. af alle inficerede maskiner havde IP-adresse i Peru.
Bloggen fremhæver, at selvom Retadup på de fleste computere blot miner kryptovaluta, så har den mulighed for at overtage maskinen og blive brugt som ransomware.
Det kom heldigvis aldrig så vidt. Ifølge Avasts statistik over inficerede enheder havde den typiske maskine Windows 7, mellem to og fire kerner, og desuden havde maskinen ikke antivirus installeret.
En person, der på Twitter kalder sig black joker, har i flere tilfælde sagt, at han har skabt Retadup. Bloggen fortæller, at folkene hos Avast var kritiske, men siden de selv kunne se snapshots fra serveren, kunne de bekræfte, at han fortalte sandheden.
Skulle din egen computer være inficeret, fremhæver Avast desuden, at det ikke er svært at rengøre maskinen, da filnavnene er lette at finde. Dog afhænger det af, hvilken version der har inficeret maskinen, da forskellige udgaver er skrevet i hhv. AutoIt eller AutoHotkey, og det lette fix kun hjælper mod Autolt-versionen.
...men det er dyrt at lave god journalistik. Derfor beder vi dig overveje at tegne abonnement på Version2.
Digitaliseringen buldrer derudaf, og it-folkene tegner fremtidens Danmark. Derfor er det vigtigere end nogensinde med et kvalificeret bud på, hvordan it bedst kan være med til at udvikle det danske samfund og erhvervsliv.
Og der har aldrig været mere akut brug for en kritisk vagthund, der råber op, når der tages forkerte it-beslutninger.
Den rolle har Version2 indtaget siden 2006 - og det bliver vi ved med.
