Avast og politi overtager botnet med 850.000 inficerede computere

Kort over, hvor Avast og C3N fandt maskiner inficeret med Retadup. Illustration: Avast, C3N
Det er sjældent, vi hører om denne type historier, men det er lykkedes Avast og det franske politi at hacke og senere overtage serveren, der styrer et botnet, som har inficeret over 850.000 computere på verdensplan.

Over 850.000 computere var inficeret med et netværk af malware, som nu er blevet overtaget og neutraliseret af it-sikkerhedsvirksomheden Avast og den franske myndighed mod cyberkriminalitet, Le centre de lutte contre les criminalités numériques (C3N).

Det fortæller Avast selv på sin blog.

Der er tale om ormen Retadup, der typisk inficerer Windows-maskiner for at mine kryptovaluta, men også i nogle tilfælde har kunnet stjæle passwords.

Ved at analysere Retadups command-and-control kommunikationsprotokol fandt folk hos Avast ud af, at man let kunne fjerne Retadup fra en inficeret computer, hvis blot de kunne overtage serveren. Da det meste af Retadups infrastruktur stod i Frankrig, blev de franske myndigheder tilknyttet sagen.

Det lykkedes myndighederne at hacke serveren, så både politiet og Avast kunne følge med i, hvad der foregik. Lidt overraskende viste det sig, at serveren også selv var inficeret med en anden type malware, Neshta.

Den 8. juli overtog de endeligt serveren, og siden da har botnettet ikke været en trussel.

Kunne være brugt som ransomware

Selvom hardwaren står i Frankrig, så var botnettet mest udbredt i Sydamerika. Hele 35 pct. af alle inficerede maskiner havde IP-adresse i Peru.

Bloggen fremhæver, at selvom Retadup på de fleste computere blot miner kryptovaluta, så har den mulighed for at overtage maskinen og blive brugt som ransomware.

Det kom heldigvis aldrig så vidt. Ifølge Avasts statistik over inficerede enheder havde den typiske maskine Windows 7, mellem to og fire kerner, og desuden havde maskinen ikke antivirus installeret.

En person, der på Twitter kalder sig black joker, har i flere tilfælde sagt, at han har skabt Retadup. Bloggen fortæller, at folkene hos Avast var kritiske, men siden de selv kunne se snapshots fra serveren, kunne de bekræfte, at han fortalte sandheden.

Skulle din egen computer være inficeret, fremhæver Avast desuden, at det ikke er svært at rengøre maskinen, da filnavnene er lette at finde. Dog afhænger det af, hvilken version der har inficeret maskinen, da forskellige udgaver er skrevet i hhv. AutoIt eller AutoHotkey, og det lette fix kun hjælper mod Autolt-versionen.

Tips og korrekturforslag til denne historie sendes til tip@version2.dk
Kommentarer (0)
sortSortér kommentarer
  • Ældste først
  • Nyeste først
  • Bedste først
Log ind eller Opret konto for at kommentere