Retadup malware : démantèlement d'un botnet

L'actualité & News Informatique!
Donc pas de demande d'aide dans cette partie.
Malekal_morte
Site Admin
Site Admin
Messages : 103387
Inscription : 10 sept. 2005 13:57
Contact :

Retadup malware : démantèlement d'un botnet

Message par Malekal_morte »

Redatup est un malware qui existe puis plusieurs années.
Ce dernier est écrit en AutoIt ou AutoHotkey.
Une fois actif, il créé un une clé RUN ou tâche planifiée afin de se lancer au démarrage de Windows.
retadup-persistance.png
Il s'agit d'un ver informatique (worm) qui créé ensuite un fichier raccourci (LNK) sur les partages réseaux ou lecteurs connectés.
Si l'utilisateur lance le raccourci, il infecte le PC à son tour.
Enfin kes auteurs ont pu charger d'autres trojan RAT ou encore des miners afin de monétiser le botnet.

Redatup vise principalement l'Amérique du Sud.
Entre le 2 Juillet et 19 Août, Avast! a idéntifié environ 850,000 PC infectés.
Les méthodes de distribution restent classique comme des mails vérolés.
Distribution du malware retadup
Distribution du malware retadup
La version 7 de Windows a largement été la plus touchée.
Les versions de Windows touchées par Retadup
Les versions de Windows touchées par Retadup
En clair donc, rien de vraiment extraordinaire concernant ce malware qui relativement simple.

Démantèlement du botnet

Le botnet s'appuie des serveurs de contrôles (C&C) localisés en France et USA.

La gendarmerie Nationale en collaboration avec le FBI et Avast! ont pu mettre hors ligne le botnet.
Ils ont copié un des serveurs de contrôles afin d'en prendre le contrôle en mettant hors ligne les autres.
Les autorités ont pu ensuite charger un code sur les PC infectés pour supprimer le malware.

source :
https://decoded.avast.io/janvojtesek/pu ... thousands/
https://www.zdnet.com/google-amp/articl ... ssion=true
Image

Première règle élémentaire de sécurité : on réfléchit puis on clic et pas l'inverse - Les fichiers/programmes c'est comme les bonbons, quand ça vient d'un inconnu, on n'accepte pas !
Comment protéger son PC des virus

Les tutoriels Windows 10 du moment : Comment demander de l'aide sur le forum
Partagez malekal.com : n'hésitez pas à partager les articles qui vous plaisent sur la page Facebook du site.

Malekal_morte
Site Admin
Site Admin
Messages : 103387
Inscription : 10 sept. 2005 13:57
Contact :

Re: Retadup malware : démantèlement d'un botnet

Message par Malekal_morte »

Un article un peu plus complet sur Libe même si ça reprend aussi ce qui est dit précédemment : Gendarmerie et «machines zombies» : questions sur une «désinfection» .

J'en profite pour signaler un premier botnet observé qui utilise la blockchain pour générer les adresses des serveurs C2 : Glupteba Malware Uses Bitcoin Blockchain to Update C2 Domains
Image

Première règle élémentaire de sécurité : on réfléchit puis on clic et pas l'inverse - Les fichiers/programmes c'est comme les bonbons, quand ça vient d'un inconnu, on n'accepte pas !
Comment protéger son PC des virus

Les tutoriels Windows 10 du moment : Comment demander de l'aide sur le forum
Partagez malekal.com : n'hésitez pas à partager les articles qui vous plaisent sur la page Facebook du site.

Répondre

Revenir à « Actualité & News Informatique »