De Franse politie heeft de commandoserver van een botnet overgenomen en ingezet om een malware worm te neutraliseren. Via de operatie zouden 850.000 infecties met de worm Retadup verwijderd zijn.
Retadup is een malware die voornamelijk Windows computers in Latijns-Amerika infecteert en in de meeste gevallen een ‘mining’ programma installeert dat cryptomunten ontgint door gebruik te maken van de computerkracht en energie van de slachtoffers. De ontginde munten gaan daarbij naar de eigenaars van het botnet. Daarnaast kan Retadup ook spyware of ransomware installeren. De malware geldt als een ‘worm’ en kan zich van computer naar computer verspreiden, meldt beveiliger Avast in een blog over de operatie.
De beveiligingsfirma schrijft dat ze naar de Franse cyberpolitie stapte toen ze een kwetsbaarheid vond in de command & control server van de malware. Via die fout was het mogelijk om code naar de geïnfecteerde computers te sturen die de malware verwijdert, aldus Avast op zijn blog. Het bedrijf had de wettelijke macht niet om zoiets te doen, maar omdat de infrastructuur van het botnet in Frankrijk stond, kon de Franse politie dat wel voor mekaar krijgen. Met toestemming van de rechter in de hand startte de Franse cyberpolitie, de Centre de lutte contre les criminalités numériques of C3N, met het bouwen van een replica van de c&c server. Deze keer eentje die de computers slachtoffers net zou desinfecteren. Ze vervingen vervolgens de originele c&c server door hun eigen versie. Volgens het rapport kon de Franse politie 850.000 computers op deze manier schoonmaken.
Zo’n groot botnet aan crypto miners zorgde voor een stevige bron van inkomsten voor de operatoren, maar heeft ook het potentieel om gevaarlijke (en grootschalige) aanvallen uit te voeren, zegt Jean-Dominique Nollet, baas van het C3N aan de Franse krant Le Figaro.
Fout opgemerkt of meer nieuws? Meld het hier