Juhoamerický červ Retadup skončil, už viac nebude dolovať kryptomeny

Juhoamerický červ Retadup skončil, už viac nebude dolovať kryptomeny

Drvivú väčšinu jeho obetí nechránil žiadny antivírus.

Výskumný tím bezpečnostnej spoločnosti Avast v spolupráci s francúzskym Centrom boja proti kyberkriminalite (C3N) odhalil a zastavil nebezpečného červa, ktorý v Južnej Amerike napádal počítače s operačným systémom Windows. Retadup inštaloval na zariadenia svojich obetí dodatočný malvér na ťaženie kryptomeny Monero, v niektorých prípadoch aj ransomvér Stop alebo nástroj na kradnutie hesiel Arkei.

Hoci bol červ aktívny už dlhšie, výskumníci mu začali venovať väčšiu pozornosť až v marci tohto roku, keď na seba upozornil pokročilou implementáciou skrytého procesu ťažby kryptomeny. Analýzou sa zistilo, že bol napísaný v skriptovacích jazykoch AutoHotkey a AutoIt a prítomnosť v počítači si zachovával vytváraním registrov a/alebo naplánovaných úloh. Okrem toho mal viac kontrolných mechanizmov, ktoré bránili v jeho odhalení. 

Hlavný riadiaci server útočníkov, ktorý zasielal malvéru príkazy, sa nachádzal vo Francúzsku. Retadup prestal fungovať v júli po tom, čo kybernetický tím tamojšej vojenskej polície prevzal nad serverom kontrolu vďaka jeho chybnej konfigurácii. Vyšetrovatelia následne vložili do komunikačného kanála medzi serverom a malvérom skript, ktorým prinútili malvér zničiť samého seba. Druhý takýto server sa nachádzal v USA, kde ho po upozornení vypla FBI.

Útočníkom sa celkovo podarilo infikovať vyše 850-tisíc zariadení, z ktorých mala viac ako polovica nainštalovaný operačný systém Windows 7. Antivírusový program však chýbal až v 85 percentách z nich. Najviac obetí bolo z Peru, Venezuely, Bolívie, Ekvádoru a Mexika. 

Nevedno, koľko presne dokázali útočníci cryptojackingom zarobiť. V čase, keď bol vytvorený snímok riadiaceho serveru (tzv. snapshot) však útočníci používali Monero adresu, na ktorú pribudlo za necelý jeden mesiac 53,72 XMR (približne 4 200 dolárov).

S Retadupom sa spájajú aj dve zaujímavosti. Po získaní snímku serveru výskumníci zistili, že útočníci nechtiac infikovali svoj server malvérom Neshta. Ten napáda všetky spustiteľné súbory na zariadení a vkladá do nich vlastný kód, ktorý zhromažďuje a preposiela informácie o infikovanom systéme.

Druhou kuriozitou je snaha autorov Retadupu získať pozornosť bezpečnostných firiem. Napriek tomu, že spoločnosť Trend Micro v rokoch 20172018 napísala o červovi niekoľko článkov, autori si vytvorili na Twitteri falošný účet, ktorým na seba chceli upozorniť. V jednom prípade dokonca zverejnili snímku obrazovky riadiaceho panelu.

(VK)