#HablandoDeSeguridad: ¿Cómo hizo Avast para detener el ataque Retadup?

Se trató de un malware que infectó más de ochocientos mil computadoras en todo el mundo, incluyendo varios miles de América Latina. Conocé todos los detalles en esta nueva edición de #HablandoDeSeguridad.

Avast colaboró con el Centro de Lucha Contra el Cibercrimen (C3N) de la Gendarmería Nacional Francesa para mitigar el impacto del gusano malicioso Retadup.

¿Cómo funcionaba?

Se distribuía por medio de otros malware como un minero de criptomonedas malicioso, el ransomware Stop y el roba contraseñas Arkei.

Durante su análisis, el equipo de Avast Threat Intelligence descubrió que Retadup se propaga principalmente al liberar archivos LNK maliciosos en las unidades conectadas, esperando que las personas compartieran los archivos infectados con otros usuarios. El archivo LNK se creaba con el mismo nombre que una carpeta ya existente, con un texto como “Copiar fpl.lnk” adjunto. De esta manera, engañaba a los usuarios que creían que estaban abriendo sus propios archivos, cuando en realidad se estaban infectando.

Colaboración de Avast con la Gendarmería francesa

Durante el análisis, el equipo de Avast Threat Intelligence, identificó una falla de diseño en el protocolo de C&C que permitiría eliminar el malware de las computadoras de las víctimas, con la adquisición del servidor de C&C. La infraestructura de C&C de Retadup se encontraba principalmente en Francia, por lo que el equipo contactó al C3N de la Gendarmería Nacional Francesa para compartir sus hallazgos. El C3N reemplazó el servidor malicioso de C&C con un servidor de desinfección preparado, que hizo que las instancias conectadas de Retadup se autodestruyeran. En el primer segundo de su actividad, varios miles de bots se conectaron a él para obtener comandos del servidor. El servidor de desinfección respondió a ellos y los desinfectó, aprovechando la falla de diseño del protocolo C&C. Esto permitió poner fin a Retadup y proteger a todos los usuarios (no solo a los usuarios de Avast) sin necesidad de acción alguna por parte de la víctima.

Dispersión geográfica del ataque

Los 15 principales países donde Retadup fue neutralizado

1. Perú: 322.340
2. Venezuela: 130.469
3. Bolivia: 83.858
4. Ecuador: 64,466
5. México: 57.527
6. Colombia: 27.646
7. Argentina: 23.671
8. Cuba: 14.785
9. Guatemala: 12.940
10. Israel: 11.337
11. Uzbekistan: 8.944
12. Estados Unidos: 8.349
13. Brasil: 7.324
14. Rusia: 6.520
15. Madagascar: 5.545

Retadup alcanzó tal nivel de dispersión que ocupó un lugar importante en Twitter

Avast publicó un detallado informe en su página corporativa

Putting an end to Retadup: A malicious worm that infected hundreds of thousands

La intervención de la Gendarmería francesa tuvo una amplia cobertura de prensa

Etiquetas
Mostrar más
Gustavo Aldegani

Gustavo Aldegani

Consultor Independiente en Seguridad Informática, con 25 años de experiencia, especializado en Implementación de Sistemas Informáticos Seguros en organizaciones militares, de gobierno y privadas de Estados Unidos, América Latina y Argentina. Profesor de la Materia Seguridad Informática en la Universidad de Belgrano.

Deja un comentario

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

Close