Vous êtes nouveau sur Developpez.com ? Créez votre compte ou connectez-vous afin de pouvoir participer !

Vous devez avoir un compte Developpez.com et être connecté pour pouvoir participer aux discussions.

Vous n'avez pas encore de compte Developpez.com ? Créez-en un en quelques instants, c'est entièrement gratuit !

Si vous disposez déjà d'un compte et qu'il est bien activé, connectez-vous à l'aide du formulaire ci-dessous.

Identifiez-vous
Identifiant
Mot de passe
Mot de passe oublié ?
Créer un compte

L'inscription est gratuite et ne vous prendra que quelques instants !

Je m'inscris !

Avast et la gendarmerie française mettent fin à l'activité du botnet Retadup et désinfectent 850 000 ordinateurs
Qui ont été utilisés pour miner de la cryptomonnaie

Le , par Stéphane le calme

21PARTAGES

15  0 
Dans un billet de blog, Avast a expliqué :

« Retadup est un ver malveillant affectant les machines Windows en Amérique latine. Son objectif est d’obtenir de la persistance sur les ordinateurs de ses victimes, de se propager au loin et d’installer de nouvelles charges utiles de logiciels malveillants sur des ordinateurs infectés. Dans la grande majorité des cas, la charge installée est un mineur de cryptomonnaie pour le compte de leurs auteurs. Cependant, dans certains cas, nous avons également observé que Retadup distribuait le logiciel de chiffrement Stop et le voleur de mots de passe Arkei.

« Nous avons partagé nos informations sur les menaces concernant Retadup avec le Centre de lutte contre la criminalité numérique (C3N) de la gendarmerie nationale française et avons proposé une technique permettant de désinfecter les victimes de Retadup. Conformément à nos recommandations, C3N a démantelé un serveur de commande et de contrôle (C & C) malveillant et l'a remplacé par un serveur de désinfection. Le serveur de désinfection a répondu aux demandes de bot entrantes avec une réponse spécifique qui a provoqué l'autodestruction des éléments connectés du logiciel malveillant. Au moment de la publication de cet article, la collaboration avait neutralisé plus de 850 000 infections uniques de Retadup ».

Comment cela s'est passé ?

Tout a commencé en mars 2019, bien qu'Avast avait déjà détecté des signatures de Retadup avant. Dans le cadre de ses recherches sur les menaces, Avast recherche activement les logiciels malveillants faisant appel à des techniques avancées pour contourner ses détections. À l'époque, un mineur malveillant de la cryptomonnaie Monero a piqué son intérêt en raison de son implémentation avancée d'un processus furtif. Avast a commencé à examiner comment ce mineur est distribué à ses victimes et a découvert qu'il était installé par un ver AutoIt / AutoHotkey appelé Retadup.

Après une analyse plus approfondie de Retadup, le spécialiste a constaté que, même s'il est très répandu, son protocole de communication C&C est assez simple. Il a identifié un défaut de conception dans le protocole C&C qui lui aurait permis de supprimer les logiciels malveillants des ordinateurs de ses victimes si nous reprenions le contrôle de son serveur C&C. Cela a permis de mettre fin à Retadup et de protéger tout le monde, pas seulement les utilisateurs d'Avast..

L’infrastructure de C&C de Retadup étant principalement située en France, aussi Avast a décidé de contacter la gendarmerie nationale française à la fin du mois de mars pour lui faire part de ses conclusions. Avast lui a alors proposé un scénario de désinfection impliquant la prise en charge d'un serveur C&C et l'utilisation du défaut de conception C&C afin de neutraliser Retadup. Ce plan d'action a séduit la gendarmerie qui a alors ouvert un dossier sur Retadup.


Pendant que la gendarmerie présentait le scénario de désinfection au procureur, Avast était en train d'analyser Retadup plus en détail. L'éditeur a créé un programme de suivi simple qui l'avertissait chaque fois qu'il y avait une nouvelle variante de Retadup ou s'il commençait à distribuer de nouvelles charges utiles malveillantes à ses victimes. Il a ensuite testé le scénario de désinfection proposé localement et discuté des risques potentiels associés à son exécution. La gendarmerie a également obtenu un snapshot du disque du serveur C&C auprès de son fournisseur d’hébergement et en a partagé certaines parties avec Avast afin que l'éditeur puisse commencer à procéder à une ingénierie inverse du contenu du serveur C&C. Pour des raisons évidentes de confidentialité, Avast n’avait accès qu’à des parties du serveur C&C ne contenant aucune information privée sur les victimes de Retadup. L'éditeur devait également faire très attention, car il était impératif de ne pas être découverts par les auteurs de malwares (par exemple lors de la snapshot du serveur C&C ou suite aux réactions de l'outil de suivi). Jusque-là, les auteurs de malwares distribuaient principalement des mineurs de cryptodevises, ce qui leur conférait un très bon revenu passif. Mais s’ils réalisaient qu'Avast était sur le point de supprimer Retadup dans son intégralité, ils auraient peut-être poussé les ransomwares vers des centaines de milliers d’ordinateurs tout en essayant de tirer profit de leurs programmes malveillants pour leurs derniers profits.

Les résultats de l'analyse du snapshot obtenu du serveur C&C étaient assez surprenants. Tous les fichiers exécutables du serveur ont été infectés par le fichier Neshta fileinfector. Les auteurs de Retadup ont été infectés par accident par un autre virus. Ironisant sur la situation, Avast a déclaré que les auteurs de programmes malveillants devraient penser à se servir d'une protection antivirus robuste.

La gendarmerie française passe à l'action

En juillet 2019, la gendarmerie a reçu le feu vert du procureur, ce qui signifiait qu'elle pouvait légalement procéder à la désinfection. Elle a remplacé le serveur C&C malveillant par un serveur de désinfection préparé permettant aux instances connectées de Retadup de s'autodétruire. Dans la toute première seconde de son activité, plusieurs milliers de bots s’y sont connectés afin de récupérer les commandes du serveur. Le serveur de désinfection leur a répondu et la désinfection s'est enclenchée grâce à la faille de conception du protocole C&C.

Certaines parties de l'infrastructure de C&C étaient également situées aux États-Unis. La gendarmerie a alerté le FBI qui les a fermées et, le 8 juillet, les auteurs des programmes malveillants n’avaient plus aucun contrôle. Comme il incombait au serveur C&C de confier des tâches de minage aux bots, aucun d'entre eux n'a reçu de nouvelle instruction de minage. Cela signifiait qu'ils ne pouvaient plus épuiser la puissance de calcul de leurs victimes et que les auteurs de logiciels malveillants ne retiraient plus aucun profit de cette activité.

En quelques semaines, les cybergendarmes réussissent à confirmer la localisation du serveur pirate en Île-de-France. La section F1 du parquet de Paris, chargée de la cybercriminalité, ouvre alors une enquête avec la coopération judiciaire du FBI aux États-Unis. En l'espace de six mois et pour la première fois, des cybergendarmes réussissent à neutraliser le serveur malveillant et à désinfecter des centaines de milliers d'ordinateurs infectés à travers la planète.

Les bots Retadup ont envoyé beaucoup d’informations sur les machines infectées au serveur C&C. Avast ne disposait que d'informations agrégées sur les victimes de Retadup étant donné qu'il avait un accès limité à un snapshot du serveur. L’information la plus intéressante pour Avast était le nombre exact d’infections et leur répartition géographique. Pendant la rédaction de son billet, Avast avait neutralisé plus de 850 000 infections uniques à Retadup, la grande majorité d'entre elles étant localisées en Amérique latine. Depuis que les auteurs de programmes malveillants ont miné la cryptomonnaie sur les ordinateurs des victimes, ils se sont naturellement intéressés à la puissance de calcul des ordinateurs infectés. Avast a pu déterminer que les ordinateurs les plus infectés avaient deux ou quatre cœurs (le nombre moyen de cœurs d'ordinateurs infectés était de 2,94) et que la majorité des victimes utilisaient Windows 7. Plus de 85% des victimes de Retadup n'avaient pas de solutions antivirus installées. Certains les avaient simplement désactivées, ce qui les laissait complètement vulnérables au ver et leur permettait de se propager davantage.


Les détails de l'opération

France Inter a interrogé Jean-Dominique Nollet, chef du Centre de lutte contre la criminalité numérique (C3N) à Cergy Pontoise (Val d'Oise).

Comment s'est déroulée cette opération inédite ?

JEAN-DOMINIQUE NOLLET : "On a réussi à nettoyer plus de 850 000 machines qui étaient infectées par le virus Retadup. Cette flotte d'ordinateurs permettait de faire des attaques mondiales de très, très grande ampleur. Vous imaginez notre satisfaction d'avoir réussi à enlever les virus des ordinateurs des victimes, qui a priori ne savaient même pas que leurs machines étaient infectées.

Grosso modo, on a réussi à détecter où se trouvaient le serveur de commandement, la tour de contrôle du réseau d'ordinateurs infectés, les 'Botnet'. On l'a copié, on l'a répliqué avec un serveur à nous, et on lui a fait faire des choses qui permettent au virus d'être inactif sur les ordinateurs des victimes."


Jean-Dominique Nollet est le chef du Centre de lutte contre la criminalité numérique (C3N) à Cergy Pontoise (Val d'Oise)

Ce qui est incroyable, c'est que le serveur pirate était en France.

"Ce n'est pas incroyable, c'est légitime : il y a plein de serveurs en France. Nous sommes l'un des pays qui fait le plus d'hébergements."

De quoi était capable ce réseau "Botnet" ?

"Les gens ne s'en rendent peut-être pas compte, mais 850 000 ordinateurs infectés, c'est une puissance de feu énorme ! Elle permet de faire tomber tous les sites (civils) de la planète, si les auteurs le veulent. Donc c'était très dangereux en matière de potentialité d'attaques : il fallait vraiment faire cesser l'infraction. Le virus Retadup est connu pour avoir attaqué des hôpitaux en Israël, volé des données de patients israéliens, et même fabriqué énormément de cryptomonnaie grâce aux 850 000 ordinateurs."

En quoi votre intervention est différente de ce qui se fait d'habitude ?

"Ce qui est nouveau par rapport à ce que faisaient jusque-là les sociétés privées de protections des données, c'est qu'elles redirigeaient le virus vers un 'coin mort' d'Internet. Là, ce qu'on a fait, c'est envoyer du code aux ordinateurs victimes, pour désactiver les différentes versions du virus."

Comment s'est passée la coopération avec le FBI ?

"On avait besoin d'eux non pas pour la partie technique, mais parce que certains noms de domaines étaient enregistrés aux États-Unis. Il nous fallait des jugements de cours fédérales pour pouvoir bloquer certains trafics et les dériver vers notre serveur à nous."

Que va devenir le serveur pirate et où en êtes-vous avec les créateurs de Retadup ?

"Notre serveur, on va le laisser tourner encore un peu pour continuer à désinfecter des machines qui ne se sont pas connectées depuis un mois et demi (durant l'été) ou qui avaient des problèmes de réseau. Pour le reste, l'enquête continue pour tenter d'identifier les auteurs du virus.

Les auteurs pouvaient louer leur plateforme à des dirigeants de sociétés pour des attaques de concurrents par exemple ! Ils pouvaient paralyser des institutions, même bien défendues. On a comptabilisé 140 pays concernés, surtout en Amérique du Sud. En France, on compte quelques centaines d'ordinateurs. On pense que les auteurs ont réussi à gagner plusieurs millions d'euros, chaque année, depuis 2016. Malheureusement on sait qu'ils peuvent recréer ce genre de serveur pirate à tout moment."

Qui a été infecté dans cette histoire ? Et comment ça se passait ?

"Le virus n'a infecté que des ordinateurs sous Windows, XP, 7,8 et 10 et des serveurs sous Windows. Il s'agissait surtout d'ordinateurs de particuliers, mais également d'entreprises. Les PC ont été infectés très classiquement : un clic sur un lien dans un e-mail, proposant une manière de faire de l'argent facile, ou de voir des photos érotiques, etc. Autre manière très courante de propagation du virus : les clés USB infectées."

Qu'est-ce que vous conseilleriez à l'utilisateur lambda face à ce genre de cyber-groupe criminel et ce genre de virus ?

"La même chose que je conseille à mes parents : on ne clique pas sur les liens si l'on n'est pas sûr de la personne qui vous envoie le mail. On ne clique pas sur les pièces jointes non plus et on met un antivirus (même gratuit) à jour. Et on essaie de ne pas faire n'importe quoi sur Internet."

Sources : Avast, France Inter

Et vous ?

Utilisez-vous un antivirus ?
Si non, pourquoi ?
Si oui, lequel ?
Le minage illicite de cryptomonnaie, une activité « à la mode » ?

Voir aussi :

Les attaques de malware visant des MdP sont à la hausse selon les statistiques de Kaspersky, près d'un million d'utilisateurs concernés au 1S19
EvilGnome : un nouveau malware qui espionne et cible les utilisateurs de PC Linux, il inclut plusieurs modules malveillants
Microsoft avertit qu'une campagne de diffusion du malware voleur d'informations Astaroth est en cours, via des attaques sans fichier
Un hacker met sur pied un botnet de plus de 18 000 routeurs Huawei en l'espace d'une seule journée, profitant d'une vulnérabilité sévère connue
Une variante du botnet Mirai embarque trois exploits pour cibler des appareils IdO vulnérables, au lieu d'utiliser la force brute comme l'originale

Une erreur dans cette actualité ? Signalez-le nous !

Avatar de sergio_is_back
Membre émérite https://www.developpez.com
Le 29/08/2019 à 8:52
"La même chose que je conseille à mes parents : on ne clique pas sur les liens si l'on n'est pas sûr de la personne qui vous envoie le mail. On ne clique pas sur les pièces jointes non plus et on met un antivirus (même gratuit) à jour. Et on essaie de ne pas faire n'importe quoi sur Internet."
Rien que ça, si tout le monde en prenait conscience, ce serait déjà un gros pas en avant vers l'éradication de type de menace...
4  0 
Avatar de CoderInTheDark
Membre chevronné https://www.developpez.com
Le 29/08/2019 à 10:55
Encore une fois au JT quand il est question d'informatique ils disent beaucoup de co....

Ils ont exalté le mérite de la gendarmerie française, ils n'ont pas parlé d'Avast.
2  0 
Avatar de Dgamax
Membre actif https://www.developpez.com
Le 29/08/2019 à 10:07
Citation Envoyé par sergio_is_back Voir le message
C'est pas une box qui va empêcher le passage d'un ver...
Ça ne va pas l’empêcher de passer mais ça permet déjà de ne pas exposer les machines windows directement à internet...
2  1 
Avatar de vanquish
Membre éprouvé https://www.developpez.com
Le 29/08/2019 à 8:51
Très bon article, mais l'introduction parle d'un ver, puis il explique que l'infection se faisait en cliquant sur un lien dans un mail.
Ce n'est pas du tout la même chose.
Je me demandais comment un ver avait passé la box derrière laquelle se trouve la plupart des particulier.
0  0 
Avatar de sergio_is_back
Membre émérite https://www.developpez.com
Le 29/08/2019 à 12:23
Citation Envoyé par CoderInTheDark Voir le message
Ils ont exalté le mérite de la gendarmerie française, ils n'ont pas parlé d'Avast.
+1

C'est vrai... Mais il ne faut attendre de journalistes qui ont inventé la carte bancaire Wifi (pour dire "sans contact", le dénommé Franck Edard sur M6 pour ne pas le citer) à être parfaitement au fait de tout ce qui ce passe dans le monde de l'informatique...
0  0 
Avatar de Steinvikel
Membre expérimenté https://www.developpez.com
Le 29/08/2019 à 13:49
voici les définitions que je fourni quand je fais de la vulgarisation

virus : - DE TYPE RÉPLIQUANT, se réplique au sein des fichiers d'un même ordinateur (programmes ou documents), et peut se répandre par tout moyen d'échange de données --> auto-répliquant, de secteur d'amorçage (boot), de script, macro-virus, ping-pong, polymorphe (qui change d'aspect de détection)
se réplique uniquement par l'utilisation d'un programme hôte ou document hôte (d'où son nom) ...techniquement parlant, ce n'est pas forcément malveillant.
worm : - (vers) DE TYPE RÉPLIQUANT, se réplique d'un ordinateur à un autre à travers le réseau, en exploitant ses ressources (PC puissant = grosse reproduction)
se réplique (par ses propres moyens, sans contaminer des programmes ou des documents) uniquement après avoir été exécuté une première fois.
wabbit : - DE TYPE RÉPLIQUANT, se réplique, en infectant ni les programmes, ni les documents, pour saturer les ressources de la machine
ne se propage pas par le réseau
trojan : - (cheval de Troie) dissimulent une "charge utile" au sein d'un programme. C'est un malware (ou une simple fonctionnalité), ou un élément voué à être installé par celui-ci.
peut être regroupé dans les facticiels (disposant de fonctionnalités cachés)
spyware : - (espiongiciel) récupère les données personnelles de l'utilisateur sans consentement, et les envoi à un tiers
keylogger : - (enregistreur de frappe) interceptent l'activité du clavier pour récupérer les loggin, des adresses, etc.
rogue : - (escroc-giciel) de faux programmes (de désinfection antivirus, d'optimisation, etc.), affichant de fausses informations, et/ou régulièrement un pop-up publicitaire dans l'objectif d'arnaquer l'utilisateur
peut être regroupé dans les facticiels
ransomware : - (rançongiciel) chiffre une partie des données du système et demandent une rançon pour récupérer les fichiers
hijacker : - (pirate) détourne l'activité du navigateur en modifiant la page d'accueil et d'autres paramètres
adware : - (publiciel) introduit de la publicité là où il n'y a pas lieu d'en trouver habituellement (lors de son utilisation) --> souvent des pub crapuleuses et incidieuses, pointeux sur des sites aux pratiques encore plus basses
exploit : - (exploite) exploite une faille de sécurité, un bug
bloatware : - (obésiciel) qui est, ou qui devient, excéssivement gros, par le cumul de données ou de fonctionnalité inutiles
- -
backdoor : - (porte dérobée) ouvre un accès secret, pré-existant (volontairement ou non)

Si l'on s'en tient à ces définitions, l'article décrit quelque chose étant à la fois un cheval de Troie (installe une charge utile) et un vers (se réplique à travers le réseau).
0  0 
Avatar de sergio_is_back
Membre émérite https://www.developpez.com
Le 29/08/2019 à 8:58
Citation Envoyé par vanquish Voir le message
Je me demandais comment un ver avait passé la box derrière laquelle se trouve la plupart des particulier.
C'est pas une box qui va empêcher le passage d'un ver...
1  3 
Avatar de sergio_is_back
Membre émérite https://www.developpez.com
Le 29/08/2019 à 17:00
Citation Envoyé par Dgamax Voir le message
Ça ne va pas l’empêcher de passer mais ça permet déjà de ne pas exposer les machines windows directement à internet...
T'a déjà vu un PC connecté "directement à internet" sans passer par une "box" (qui n'est qu'un modem fourni par un opérateur fournisseur d'accès doublé d'un firewall) ?
A part quand tu utilise ton téléphone pour partager ta connexion 4G en wifi avec ton PC par exemple...

Et puis si le vers est programmé de façon intelligente il va essayer de profiter des ports ouverts en standard sur ta box pour tromper le firewall... le port SSH par exemple... on peut faire passer toute sorte de charge utile de cette façon... Et puis souvent à la base de l'infection il y a un cheval de Troie (PJ infectée dans un mail, lien vers un site contrefait, exe sur une clé USB infectée, etc...) c'est lui qui souvent télécharge le vers et le démarre pour déclencher sa réplication sur une réseau...
0  2 
Contacter le responsable de la rubrique Sécurité

Partenaire : Hébergement Web