Pesquisa de Ameaças

Avast trabalha lado a lado com a polícia da França e dos EUA para bloquear malware

Avast Security News Team, 2 Setembro 2019

Os pesquisadores do Laboratório de Ameaças da Avast ajudam a neutralizar 850.000 infecções do malware Retadup.

Pesquisadores da Avast trabalharam junto com agentes policiais da França e dos Estados Unidos para bloquear 850.000 ataques de um verme – malware que se autorreplica sem necessidade de qualquer ação por parte das vítimas – fazendo com que se autodestruísse a ameaça que começava a tomar proporções mundiais.

O verme, conhecido como Retadup, vinha maliciosamente distribuindo um minerador de moedas digitais e outros tipos de malwares em computadores Windows, principalmente na América Latina.

map_logos

Mapa que ilustra a quantidade de infecções por Retadup neutralizadas por país

"Mais de 85% das vítimas do Retadup não tinham um antivírus de terceiros instalado. Alguns também o desabilitaram, o que os deixou completamente vulneráveis ao verme e permitiu que a infecção se espalhasse. Como geralmente só conseguimos proteger os usuários da Avast, foi emocionante para nós ajudar também a proteger o resto do mundo contra um malware de escala em massa”, disse Jan Vojtěšek da Avast.

Timeline

“Os cibercriminosos por trás do Retadup conseguiram distribuir vários malwares adicionais em centenas de milhares de computadores em todo o mundo”, disse Jan Vojtěšek, analista de malwares da Avast que liderou a pesquisa. “Nossos principais objetivos foram para impedir a execução do malware que é destrutivo em grande escala e, além disso, impedir que os cibercriminosos abusassem ainda mais dos computadores infectados”.

Ao analisar o Retadup, a equipe de Inteligência de Ameaças da Avast identificou uma falha de projeto que permitiria a remoção do malware dos computadores das vítimas, sobrepondo-se ao servidor de comando e controle remoto (C&C). A maioria da infraestrutura computacional do Retadup estava localizada na França e, por isso, a equipe trabalhou com o Centro de Combate ao Cybercrime (C3N) da Gendarmerie, a polícia francesa, para bloquear a ameaça.

O servidor C&C malicioso do verme foi substituído por outro que desinfectava os equipamentos das vítimas, pois levava as peças do quebra-cabeças do malware à autodestruição.

Algumas partes da infraestrutura de C&C estavam sediadas nos Estados Unidos e as autoridades francesas também incluíram o FBI na jogada. Os órgãos policiais derrubaram o resto da infraestrutura de C&C do verme no dia 8 de julho.

Dê um mergulho profundo* no Retadup no Decoded, blog de tecnologia e Inteligência de Ameaças da Avast.

* Original em inglês.