Avast y agencias internacionales eliminan gusano malicioso Retadup

Palabras clave

Contenido patrocinado: 
Retadup ha distribuido un minero de criptomonedas malicioso
Autor:
En colaboración con la Gendarmería Nacional Francesa, investigadores de Avast trabajaron para detener 850,000 infecciones de Retadup en equipos Windows
Gusano malicioso

En colaboración con la Gendarmería Nacional Francesa, investigadores de Avast trabajaron para detener 850,000 infecciones de Retadup, un gusano malicioso que afecta a los equipos Windows, principalmente en América Latina.

Retadup tiene como objetivo permanecer en las computadoras de las víctimas extendiéndose a lo largo y ancho e instalando cargas de malware malicioso. En la mayoría de los casos, Retadup ha distribuido un minero de criptomonedas malicioso, sin embargo, en otros casos ha distribuido el ransomware Stop y el ladrón de contraseñas Arkei.

El equipo de Avast Threat Intelligence identificó una falla de diseño en el protocolo de C&C que permitiría eliminar el malware de las computadoras de las víctimas, con la adquisición del servidor de C&C. La infraestructura de C&C de Retadup se encontraba principalmente en Francia, por lo que el equipo contactó al C3N de la Gendarmería Nacional Francesa a finales de marzo para compartir sus hallazgos.

El 2 de julio de 2019, C3N reemplazó el servidor malicioso de C&C con un servidor de desinfección preparado que hizo que las instancias conectadas de Retadup se autodestruyeran. En el primer segundo de su actividad, varios miles de bots se conectaron a él para obtener comandos del servidor. El servidor de desinfección respondió a ellos y los desinfectó, aprovechando la falla de diseño del protocolo C&C. Esto permitió poner fin a Retadup y proteger a todos los usuarios.

Te interesa leer: Avast lanza servicio de Administración de Parches para PyMEs

Algunas partes de la infraestructura de C&C también se ubicaron en los EE.UU. Por lo que se alertó al FBI, quien las eliminó, y el 8 de julio de 2019 los autores del malware ya no tenían ningún control sobre los bots del malware.

Las PCs infectadas con Retadup enviaron bastante información sobre las máquinas infectadas al servidor de C&C. La Gendarmería le dio al equipo de Avast acceso a una instantánea parcial del servidor, para que pudiera obtener información agregada sobre las víctimas de Retadup.

A continuación se presenta un listado de los 15 principales países donde Retadup fue neutralizado en equipos infectados entre el 2 de julio de 2019 y el 19 de agosto de 2019.

  1. Perú: 322,340
  2. Venezuela: 130,469
  3. Bolivia: 83,858
  4. Ecuador: 64,466
  5. México: 57,527
  6. Colombia: 27,646
  7. Argentina: 23,671
  8. Cuba: 14,785
  9. Guatemala: 12,940
  10. Israel: 11,337
  11. Uzbekistan: 8,944
  12. Estados Unidos: 8,349
  13. Brasil: 7,324
  14. Rusia: 6,520
  15. Madagascar: 5,545
Contenido relacionado: