Dans un billet de blog, Avast a expliqué : « Retadup est un ver malveillant affectant les machines Windows en Amérique latine. Son objectif est d’obtenir de la persistance sur les ordinateurs de ses victimes, de se propager au loin et d’installer de nouvelles charges utiles de logiciels malveillants sur des ordinateurs infectés. Dans la grande majorité des cas, la charge installée est un mineur de cryptomonnaie pour le compte de leurs auteurs. Cependant, dans certains cas, nous avons également observé que Retadup distribuait le logiciel de chiffrement Stop et le voleur de mots de passe Arkei.
« Nous avons partagé nos informations sur les menaces concernant Retadup avec le Centre de lutte contre la criminalité numérique (C3N) de la gendarmerie nationale française et avons proposé une technique permettant de désinfecter les victimes de Retadup. Conformément à nos recommandations, C3N a démantelé un serveur de commande et de contrôle (C & C) malveillant et l'a remplacé par un serveur de désinfection. Le serveur de désinfection a répondu aux demandes de bot entrantes avec une réponse spécifique qui a provoqué l'autodestruction des éléments connectés du logiciel malveillant. Au moment de la publication de cet article, la collaboration avait neutralisé plus de 850 000 infections uniques de Retadup ».
Comment cela s'est passé ?
Tout a commencé en mars 2019, bien qu'Avast avait déjà détecté des signatures de Retadup avant. Dans le cadre de ses recherches sur les menaces, Avast recherche activement les logiciels malveillants faisant appel à des techniques avancées pour contourner ses détections. À l'époque, un mineur malveillant de la cryptomonnaie Monero a piqué son intérêt en raison de son implémentation avancée d'un processus furtif. Avast a commencé à examiner comment ce mineur est distribué à ses victimes et a découvert qu'il était installé par un ver AutoIt / AutoHotkey appelé Retadup.
Après une analyse plus approfondie de Retadup, le spécialiste a constaté que, même s'il est très répandu, son protocole de communication C&C est assez simple. Il a identifié un défaut de conception dans le protocole C&C qui lui aurait permis de supprimer les logiciels malveillants des ordinateurs de ses victimes si nous reprenions le contrôle de son serveur C&C. Cela a permis de mettre fin à Retadup et de protéger tout le monde, pas seulement les utilisateurs d'Avast..
L’infrastructure de C&C de Retadup étant principalement située en France, aussi Avast a décidé de contacter la gendarmerie nationale française à la fin du mois de mars pour lui faire part de ses conclusions. Avast lui a alors proposé un scénario de désinfection impliquant la prise en charge d'un serveur C&C et l'utilisation du défaut de conception C&C afin de neutraliser Retadup. Ce plan d'action a séduit la gendarmerie qui a alors ouvert un dossier sur Retadup.
Pendant que la gendarmerie présentait le scénario de désinfection au procureur, Avast était en train d'analyser Retadup plus en détail. L'éditeur a créé un programme de suivi simple qui l'avertissait chaque fois qu'il y avait une nouvelle variante de Retadup ou s'il commençait à distribuer de nouvelles charges utiles malveillantes à ses victimes. Il a ensuite testé le scénario de désinfection proposé localement et discuté des risques potentiels associés à son exécution. La gendarmerie a également obtenu un snapshot du disque du serveur C&C auprès de son fournisseur d’hébergement et en a partagé certaines parties avec Avast afin que l'éditeur puisse commencer à procéder à une ingénierie inverse du contenu du serveur C&C. Pour des raisons évidentes de confidentialité, Avast n’avait accès qu’à des parties du serveur C&C ne contenant aucune information privée sur les victimes de Retadup. L'éditeur devait également faire très attention, car il était impératif de ne pas être découverts par les auteurs de malwares (par exemple lors de la snapshot du serveur C&C ou suite aux réactions de l'outil de suivi). Jusque-là, les auteurs de malwares distribuaient principalement des mineurs de cryptodevises, ce qui leur conférait un très bon revenu passif. Mais s’ils réalisaient qu'Avast était sur le point de supprimer Retadup dans son intégralité, ils auraient peut-être poussé les ransomwares vers des centaines de milliers d’ordinateurs tout en essayant de tirer profit de leurs programmes malveillants pour leurs derniers profits.
Les résultats de l'analyse du snapshot obtenu du serveur C&C étaient assez surprenants. Tous les fichiers exécutables du serveur ont été infectés par le fichier Neshta fileinfector. Les auteurs de Retadup ont été infectés par accident par un autre virus. Ironisant sur la situation, Avast a déclaré que les auteurs de programmes malveillants devraient penser à se servir d'une protection antivirus robuste.
La gendarmerie française passe à l'action
En juillet 2019, la gendarmerie a reçu le feu vert du procureur, ce qui signifiait qu'elle pouvait légalement procéder à la désinfection. Elle a remplacé le serveur C&C malveillant par un serveur de désinfection préparé permettant aux instances connectées de Retadup de s'autodétruire. Dans la toute première seconde de son activité, plusieurs milliers de bots s’y sont connectés afin de récupérer les commandes du serveur. Le serveur de désinfection leur a répondu et la désinfection s'est enclenchée grâce à la faille de conception du protocole C&C.
Certaines parties de l'infrastructure de C&C étaient également situées aux États-Unis. La gendarmerie a alerté le FBI qui les a fermées et, le 8 juillet, les auteurs des programmes malveillants n’avaient plus aucun contrôle. Comme il incombait au serveur C&C de...
La fin de cet article est réservée aux abonnés. Soutenez le Club Developpez.com en prenant un abonnement pour que nous puissions continuer à vous proposer des publications.
Envoyé par sergio_is_back
