Verschlüsselung & Datensicherheit

Krypto-Botnetz Retadup neutralisiert

Krypto-Botnetz Retadup neutralisiert
Der Wurm „Retadup“ hatte weltweit Software zum Schürfen von Kryptowährung, Ransomware und eine Software zum Diebstahl von Passwörtern auf PCs verbreitet.

Das Sicherheitsunternehmen Avast hat in einer konzertierten Aktion, nach eigenen Angaben, „eine sich global ausbreitende Infektionswelle gestoppt“. Weltweit kam es zuvor zu einer Infektion von mehr als 850.000 Computern. Ursprünglich war Retadup  vor allem in Lateinamerika verbreitet.

Bösartige LNK-Dateien auf verbundene Laufwerke abgelegt

Während seiner Analyse habe das „Avast-Threat-Intelligence-Team“ entdeckt, wie datensicherheit .de unter Berufung auf die Avast-Untersuchungen berichtete.

 „dass sich ,Retadup‘ in erster Linie verbreitet, indem es bösartige LNK-Dateien auf verbundene Laufwerke ablegt, in der Hoffnung, dass die Anwender die bösartigen Dateien mit anderen Nutzern teilen werden“.


Die LNK-Datei werde unter dem gleichen Namen wie ein bereits vorhandener Ordner erstellt, an den ein Text wie „Copy fpl.lnk“ angehängt werde. Auf diese Weise solle der Nutzer getäuscht werden – „während dieser davon ausgeht, dass er seine eigene Dateien öffnet, infiziert er sich in Wirklichkeit mit Malware“. Die LNK-Datei führe dann das bösartige Skript von „Retadup“ aus.


„Die Cyber-Kriminellen hinter ,Retadup‘ hatten die Möglichkeit, beliebige Malware auf Hunderttausenden von Computern weltweit auszuführen“,

berichtet Jan Vojtěšek, „Junior Reverse Engineer“ bei Avast.Ihre eigenen Hauptziele seien es gewesen,

„sie zum einen daran zu hindern, destruktive Malware in großem Stil auszuführen“,

so Vojtěšek, und zum anderen wollten sie unterbinden,

„dass die Cyber-Kriminellen die infizierten Computer zu weiteren Straftaten nutzen können“.

C&C-Infrastruktur von Retadup hauptsächlich in Frankreich

Bei der Analyse von „Retadup“ habe das „Avast-Threat-Intelligence-Team“ einen Designfehler im C&C-Protokoll identifiziert,„der die Entfernung der Malware von den Computern der Opfer mit der Übernahme des C&C-Servers ermöglichte“. Da sich die C&C-Infrastruktur von „Retadup“ hauptsächlich in Frankreich befunden habe, „kontaktierte das Team Ende März das C3N der französischen Nationalgendarmerie, um ihre Ergebnisse mitzuteilen“.
Am 2. Juli 2019 habe C3N den bösartigen C&C-Server durch einen vorbereiteten Desinfektions-Server ersetzt, der verbundene „Retadup“-Instanzen sich selbst habe zerstören lassen.
„Kaum war dieser aktiv, verbanden sich mehrere tausend Bots mit ihm, um Befehle vom Server einzuholen. Der Desinfektions-Server reagierte darauf und desinfizierte sie, indem er den Designfehler des C&C-Protokolls verwendete.“ Dies habe es ermöglicht, „Retadup“ unschädlich zu machen und alle Nutzer – nicht nur jene von Avast – davor zu schützen, „ohne dass die Computernutzer selbst aktiv werden mussten“.

Am 8. Juli 2019 hatten Malware-Autoren keine Kontrolle mehr über -Bots

Einige Teile der C&C-Infrastruktur hätten sich auch in den USA befunden. „Die französischen Behörden alarmierten das FBI, das sie abschaltete, und am 8. Juli 2019 hatten die Malware-Autoren keine Kontrolle mehr über die Malware-Bots.“
Da es in der Verantwortung des C&C-Servers gelegen habe, den Bots Aufträge zum Schürfen von Kryptowährungen zu erteilen, habe keiner der Bots neue Befehle erhalten, die nach diesem Vorgang hätten ausgeführt werden sollen. „Das bedeutete, dass die Malware-Autoren die Rechenleistung ihrer Opfer nicht mehr nutzen und keinen finanziellen Gewinn mehr mit dem Schürfen erzielten konnten.“
Mit „Retadup“ infizierte Computer hätten eine ganze Reihe von Informationen an den C&C-Server geschickt. Die französische Gendarmerie habe dem Avast-Team partiellen Zugang für einen Snapshot des Servers gegeben, „so dass es einige zusammenfassende Informationen über die Opfer von ,Retadup‘ erhalten konnte“.

Insgesamt 850.000 individuelle Retadup-Infektionen neutralisiert

„Die interessantesten Informationen waren die genaue Anzahl der Infektionen und deren geographische Verteilung. Bis heute wurden insgesamt 850.000 individuelle ,Retadup‘-Infektionen neutralisiert, die überwiegende Mehrheit davon in Lateinamerika“,

so Vojtěšek. Über 85 Prozent der Opfer von „Retadup“ hätten keine Antivirensoftware von Drittanbietern installiert.


„Einige hatten diese auch deaktiviert, was sie völlig anfällig für den Wurm machte. Darüber hinaus haben sie die Infektion unbemerkt weiterverbreitet. Da wir normalerweise nur unsere eigenen Nutzer schützen können, war es für uns sehr spannend, dass wir in diesem Fall auch den Rest der Welt vor Malware in einer solchen Dimension schützen konnten.“


Der Snapshot des C&C-Servers ermöglichte es Avast nach eigenen Angaben auch, Einblick in die Werte der Kryptowährungen zu bekommen,

„die die Cyber-Kriminellen hinter ,Retadup‘ vom 15. Februar 2019 bis 12. März 2019 in einem Kryptowallet erbeutet haben: Die Malware-Autoren haben 53,72 XMR (rund 4.500 USD am 19. August 2019) während des halben Monats, in dem die Wallet-Adresse aktiv war, geschürft“.

Das „Threat Intelligence-Team“ sei der Ansicht, dass sie möglicherweise weitere Gewinne an andere Adressen geschickt hätten,

„so dass die tatsächlichen Gewinne wahrscheinlich höher waren“.

Liste der „Top 15 Länder“

Laut Avast wurden in folgenden Ländern „Retadup“ auf PCs neutralisiert (zwischen dem 2. Juli 2019 und 19. August 2019):

  • Peru: 322.340
  • Venezuela: 130.469
  • Bolivien: 83.858
  • Ecuador: 64,466
  • Mexiko: 57,527
  • Kolumbien: 27.646
  • Argentinien: 23.671
  • Kuba: 14.785
  • Guatemala: 12.940
  • Israel: 11.337
  • Usbekistan: 8.944
  • Vereinigte Staaten von Amerika: 8.349
  • Brasilien: 7.324
  • Russland: 6.520
  • Madagaskar: 5.545

Weiterführende Links:

Schutz vor Malware

Schutz vor Ransomware

decoded.avast.io: Putting an end to Retadup: A malicious worm that infected hundreds of thousands

Avast

datensicherheit.de: Avast: Schadsoftware Retadup erfolgreich gestoppt

Zurück

Diesen Beitrag teilen
Weitere Meldungen zum Thema
Verschlüsselung & Datensicherheit

Spyware auf EU-Abgeordneten-Handys

Bedrohungen, die speziell auf Android-, Chromebook- oder iOS-Mobilgeräte abzielen, nehmen laut Sicherheitsexperten nicht nur in der Anzahl zu, sondern auch in der Daten-Tiefe, die aus Geräten mittels unberechtigter Zugänge „ausgelesen“ wird.

Verschlüsselung & Datensicherheit

Was bringt 2024? Ist die Zukunft sicher und passwort-frei?

Es ist ein offenes Geheimnis, dass Passwörter nach wie vor eines der Haupteinfallstore für Cyberangriffe sind, weil sich insbesondere schwache Passwörter durch Brute-Force-Angriffe, bei Password-Spraying-Kampagnen oder mittels Social Engineering kompromittieren lassen. Starke Passwörter erhöhen die Sicherheit, wenn sie lang und zufällig sind.

Verschlüsselung & Datensicherheit

Cyber-Crime-Trends: innovative Schadprogramme, aber immer wieder bekannte Phishing-Strategien

Ein führender Anbieter in den Bereichen Cybersicherheit für das Internet of Things sowie verschlüsselte Sprach- und Digitalkommunikation warnt vor einem beunruhigenden Anstieg einzigartiger Schadprogramme.

Verschlüsselung & Datensicherheit

Investieren deutsche Unternehmen ihre Cybersicherheitsbudgets in die richtigen Lösungen?

Die Forschung zu Cyber-Sicherheitsthemen hat in den letzten Jahren stetig neue Innovation hervorgebracht – und da es eine ständig wachsende Zahl an Bedrohungen zu bekämpfen gilt, wird dies auch weiterhin von Nöten sein. Die noch junge Cyber-Sicherheitsbranche hat zahlreiche Optionen auf den Markt gebracht, mit denen sich Unternehmen wirkungsvoll gegen Cyber-Bedrohungen schützen können.

Diese Themen könnten Sie auch interessieren!

X
Spitzenforscher für Cybersicherheit und künstliche Intelligenz in Prag

Spitzenforscher für Cybersicherheit und künstliche Intelligenz in Prag

In Zusammenarbeit mit der Tschechischen Technischen Universität Prag (CTU) veranstaltet Avast, der weltweit führende...
oben