Análisis de amenazas

Avast colabora con autoridades internacionales para poner fin al gusano malicioso Retadup

Avast Security News Team, 28 agosto 2019

Los investigadores de Avast ayudan a neutralizar 850,000 infecciones del malware Retadup

En colaboración con la Gendarmería Nacional Francesa, los investigadores de Avast han trabajado para detener 850,000 infecciones de Retadup, un gusano malicioso que afecta a los equipos Windows, principalmente en América Latina.

El malware Retadup tiene como objetivo permanecer en las computadoras de las víctimas extendiéndose a lo largo y ancho e instalando cargas de malware malicioso. En la mayoría de los casos, Retadup ha distribuido un minero de criptomonedas malicioso, sin embargo, en otros casos ha distribuido el ransomware Stop y el ladrón de contraseñas Arkei.

"Los ciberdelincuentes detrás de Retadup tenían la capacidad de ejecutar malware arbitrario adicional en cientos de miles de computadoras en todo el mundo", dijo Jan Vojtěšek , analista de malware de Avast, quien dirigió la investigación. "Nuestros objetivos principales eran evitar que ejecutaran malware destructivo a gran escala y evitar que los ciberdelincuentes abusen más de las computadoras infectadas".

El equipo de Inteligencia de Amenzas de Avast, comenzó a monitorear el Retadup desde marzo del 2019, durante el análisis se logró identificar una falla de diseño en el servidor de comando y control (C&C) del malware, lo que permitiría la eliminación del gusano en los equipos infectados siempre y cuando se tomara el control del servidor C&C. Esto hizo posible detener a Retadup y proteger a víctimas y usuarios Windows de él, no sólo a los usuarios de Avast.

La infraestructura del servidor de comando y control  de Retadup se encontraba, principalmente, en Francia, por lo que el equipo de Avast trabajó de la mano de las autoridades francesas para detener la amenaza. Avast propuso hacerse cargo de el servidor C&C, aprovechando la falla en el diseño del servidor C&C de Retadup, reemplazándolo por un  servidor de desinfección con la intención de lograr que las piezas de malware conectadas se autodestruyeran.

Se descubrió que algunas partes de la infraestructura del servidor C&C también se ubicaban en Estado Unidos, por lo que la Gendarmería Nacional Francesa alertó al FBI. Para el 8 de Julio de 2019, los autores del malware ya no tenían ningún control sobre los robots del mismo.

Los bots Retadup enviaron mucha información al servidor de C&C sobre los equipos infectados. Al tener acceso limitado a una instantánea del servidor, el equipo de Inteligencia de Amenzas de Avast pudo obtener información sobre las víctimas de Retadup. Entre los datos obtenidos, el equipo de Avast obtuvo la cantidad exacta de infecciones y su distribución geográfica. Hasta la fecha, Avast, en compañía de autoridades de Francia y EE.UU. ha neutralizado más de 850,000 infecciones únicas de Retadup, la gran mayoría se encuentran América Latina. 

A continuación se presenta un listado de los 15 principales países donde Retadup fue neutralizado en equipos infectados (entre el 2 de julio de 2019 y el 19 de agosto de 2019).

1.    Perú: 322,340
2.    Venezuela: 130,469
3.    Bolivia: 83,858
4.    Ecuador: 64,466
5.    México: 57,527
6.    Colombia: 27,646
7.    Argentina: 23,671  
8.    Cuba: 14,785   

9.    Guatemala: 12,940
10.    Israel: 11,337
11.    Uzbekistan: 8,944
12.    Estados Unidos: 8,349
13.    Brasil: 7,324
14.    Rusia: 6,520
15.    Madagascar: 5,545    

 

Puede encontrar una descripción detallada de la investigación por parte del equipo de Inteligencia de Amenazas de Avast sobre Retadup en Decoded (sitio en inglés), el blog de tecnología de Avast.