Avast ayuda a neutralizar 850,000 infecciones únicas de Retadup
Avast ha colaborado con el Centro de Lucha Contra el Cibercrimen (C3N) de la Gendarmería Nacional Francesa para abatir un gusano malicioso que ha infectado a cientos de miles de equipos usuarios de Windows en América Latina. El gusano, conocido como Retadup, distribuía un minero de criptomonedas malicioso y, en algunos casos, también el ransomware Stop y el roba contraseñas Arkei a las computadoras de las víctimas. Hasta la fecha, la colaboración de Avast con el C3N ha neutralizado 850,000 infecciones únicas de Retadup (debajo encontrará una lista de los 15 principales países en los que se neutralizó dicha amenaza). El servidor de comando y control malicioso (C&C) fue reemplazado por un servidor de desinfección que ha causado que las piezas de malware conectadas se autodestruyan.
Durante su análisis, el equipo de Avast Threat Intelligence descubrió que Retadup se propaga principalmente al liberar archivos LNK maliciosos en las unidades conectadas, esperando que las personas compartan los archivos maliciosos con otros usuarios. El archivo LNK se crea con el mismo nombre que una carpeta ya existente, con un texto como «Copiar fpl.lnk» adjunto. De esta manera, engaña a los usuarios para que piensen que están abriendo sus propios archivos, cuando en realidad se están infectando con malware. Cuando se ejecuta en una computadora, el archivo LNK ejecuta el script malicioso de Retadup.
«Los ciberdelincuentes detrás de Retadup tenían la capacidad de ejecutar malware arbitrario adicional en cientos de miles de computadoras en todo el mundo», dice Jan Vojt?šek, Ingeniero de Avast. «Nuestro principal objetivo era evitar que ejecutara malware destructivo a gran escala y evitar que los ciberdelincuentes comprometieran más a las computadoras infectadas».
Mientras analizaba Retadup, el equipo de Avast Threat Intelligence, identificó una falla de diseño en el protocolo de C&C que permitiría eliminar el malware de las computadoras de las víctimas, con la adquisición del servidor de C&C. La infraestructura de C&C de Retadup se encontraba principalmente en Francia, por lo que el equipo contactó al C3N de la Gendarmería Nacional Francesa a finales de marzo para compartir sus hallazgos. El 2 de julio de 2019, C3N reemplazó el servidor malicioso de C&C con un servidor de desinfección preparado que hizo que las instancias conectadas de Retadup se autodestruyeran. En el primer segundo de su actividad, varios miles de bots se conectaron a él para obtener comandos del servidor. El servidor de desinfección respondió a ellos y los desinfectó, aprovechando la falla de diseño del protocolo C&C. Esto permitió poner fin a Retadup y proteger a todos los usuarios (no solo a los usuarios de Avast) sin necesidad de acción alguna por parte de la víctima.
Algunas partes de la infraestructura de C&C también se ubicaron en los EE.UU. La Gendarmería Francesa alertó al FBI, quien las eliminó, y el 8 de julio de 2019 los autores del malware ya no tenían ningún control sobre los bots del malware. Dado que era responsabilidad del servidor de C&C dar trabajos de minería a los bots, ninguno de los bots recibió ningún nuevo trabajo de minería para ejecutar después de esta acción. Esto hizo que ya no pudieran utilizar el poder de los equipos de cómputo de sus víctimas y que los autores del malware dejaran de recibir ganancias monetarias por parte de la minería.
Las PCs infectadas con Retadup enviaron bastante información sobre las máquinas infectadas al servidor de C&C. La Gendarmería le dio al equipo de Avast acceso a una instantánea parcial del servidor, para que pudiera obtener información agregada sobre las víctimas de Retadup.
«La información más interesante fue la cantidad exacta de infecciones y su distribución geográfica. Hasta la fecha, se han neutralizado un total de 850,000 infecciones únicas de Retadup, y la gran mayoría se encuentran en América Latina», continuó Jan Vojt?šek. «Más del 85% de las víctimas de Retadup no tenían instalado un software antivirus de terceros. Algunos lo desactivaron, lo que los dejó completamente vulnerables al gusano y propagaron aún más la infección sin darse cuenta. Debido a que, generalmente, solo podemos proteger a los usuarios de Avast, fue muy emocionante para nosotros también ayudar a proteger al resto del mundo del malware a una escala tan masiva.¨
La instantánea del servidor de C&C también permitió a Avast obtener información sobre la cantidad de criptomonedas que los ciberdelincuentes detrás de Retadup recibieron en una billetera de criptomonedas, del 15 de febrero de 2019 al 12 de marzo de 2019. Los autores del malware extrajeron 53.72 XMR (alrededor de 4.500 USD el 19 de agosto de 2019) durante el mes en que la billetera estuvo activa. El equipo de Inteligencia de amenazas cree que podrían haber enviado ganancias extraídas a otras direcciones durante el mismo período, por lo que las ganancias reales de la extracción probablemente fueron mayores.
Los 15 principales países donde Retadup fue neutralizado en PC (entre el 2 de julio de 2019 y el 19 de agosto de 2019)
- Perú: 322,340
- Venezuela: 130,469
- Bolivia: 83,858
- Ecuador: 64,466
- México: 57,527
- Colombia: 27,646
- Argentina: 23,671
- Cuba: 14,785
- Guatemala: 12,940
- Israel: 11,337
- Uzbekistan: 8,944
- Estados Unidos: 8,349
- Brasil: 7,324
- Rusia: 6,520
- Madagascar: 5,545