#HablandoDeSeguridad: ¿Cómo hizo Avast para detener el ataque Retadup?
Se trató de un malware que infectó más de ochocientos mil computadoras en todo el mundo, incluyendo varios miles de América Latina. Conocé todos los detalles en esta nueva edición de #HablandoDeSeguridad.
Avast colaboró con el Centro de Lucha Contra el Cibercrimen (C3N) de la Gendarmería Nacional Francesa para mitigar el impacto del gusano malicioso Retadup.
¿Cómo funcionaba?
Se distribuía por medio de otros malware como un minero de criptomonedas malicioso, el ransomware Stop y el roba contraseñas Arkei.
Durante su análisis, el equipo de Avast Threat Intelligence descubrió que Retadup se propaga principalmente al liberar archivos LNK maliciosos en las unidades conectadas, esperando que las personas compartieran los archivos infectados con otros usuarios. El archivo LNK se creaba con el mismo nombre que una carpeta ya existente, con un texto como «Copiar fpl.lnk» adjunto. De esta manera, engañaba a los usuarios que creían que estaban abriendo sus propios archivos, cuando en realidad se estaban infectando.
Colaboración de Avast con la Gendarmería francesa
Durante el análisis, el equipo de Avast Threat Intelligence, identificó una falla de diseño en el protocolo de C&C que permitiría eliminar el malware de las computadoras de las víctimas, con la adquisición del servidor de C&C. La infraestructura de C&C de Retadup se encontraba principalmente en Francia, por lo que el equipo contactó al C3N de la Gendarmería Nacional Francesa para compartir sus hallazgos. El C3N reemplazó el servidor malicioso de C&C con un servidor de desinfección preparado, que hizo que las instancias conectadas de Retadup se autodestruyeran. En el primer segundo de su actividad, varios miles de bots se conectaron a él para obtener comandos del servidor. El servidor de desinfección respondió a ellos y los desinfectó, aprovechando la falla de diseño del protocolo C&C. Esto permitió poner fin a Retadup y proteger a todos los usuarios (no solo a los usuarios de Avast) sin necesidad de acción alguna por parte de la víctima.
Dispersión geográfica del ataque
Los 15 principales países donde Retadup fue neutralizado
1. Perú: 322.340
2. Venezuela: 130.469
3. Bolivia: 83.858
4. Ecuador: 64,466
5. México: 57.527
6. Colombia: 27.646
7. Argentina: 23.671
8. Cuba: 14.785
9. Guatemala: 12.940
10. Israel: 11.337
11. Uzbekistan: 8.944
12. Estados Unidos: 8.349
13. Brasil: 7.324
14. Rusia: 6.520
15. Madagascar: 5.545
Retadup alcanzó tal nivel de dispersión que ocupó un lugar importante en Twitter
A replicating malware called #Retadup was infecting 850,000 computers running the Windows operating system. Our Threat Labs researchers, along with French @Gendarmerie authorities and the FBI, made it destroy itself.
Check out the full story ➤ https://t.co/8mTeDSruEv #malware
— Avast (@avast_antivirus) August 28, 2019
Avast publicó un detallado informe en su página corporativa
Putting an end to Retadup: A malicious worm that infected hundreds of thousands
La intervención de la Gendarmería francesa tuvo una amplia cobertura de prensa
