Анализ угроз

Avast остановил киберпреступников, очистив от вируса 850 000 устройств

Avast Security News Team, 30 августа 2019

Специалисты Avast провели совместную операцию с правоохранительными органами Франции и США, нейтрализовав червя, который заразил более 850 000 устройств.

В течение двух лет киберпреступная группировка, владевшая вирусом Retadup, заражала компьютеры пользователей, формируя широкую ботнет-сеть.

Компьютерный червь Retadup использовался злоумышленниками для скрытого майнинга криптовалют и распространения других вредоносных программ среди устройств под управлением Windows преимущественно в странах Латинской Америки.

map_logos

 

«Киберпреступникам удалось распространить вредоносное ПО на сотни тысяч компьютеров по всему миру, — говорит Ян Войтешек, аналитик Avast. — Нашими главными задачами было предотвратить распространение вируса и лишить злоумышленников возможности дальнейшего использования зараженных устройств».

Анализируя Retadup, команда Avast Threat Intelligence обнаружила уязвимость в протоколе, при помощи которого вирус общался с управляющим сервером (C&C). Инфраструктура Retadup большей частью была расположена во Франции, поэтому наша команда связалась с французскими властями для осуществления дальнейших действий.

Зная о найденной уязвимости, мы сумели перехватить контроль над управляющим сервером злоумышленников и подменили его собственным. После этого наш командный сервер начал удаленно отдавать всем зараженным Retadup устройствам команду на самоуничтожение, тем самым очищая зараженные машины от вируса.

Это позволило вылечить более 850 000 устройств под управлением Windows. В России было нейтрализовано около 6500 случаев заражения Retadup. Пользователям зараженных устройств не пришлось предпринимать никаких действий.

Французские правоохранительные органы подключили к операции ФБР, так как некоторые части инфраструктуры Retadup были обнаружены в США. 8 июля 2019 года злоумышленники полностью утратили контроль над зараженными машинами и своими ботами.

Подробнее об операции и анализе угрозы вы можете прочитать в нашем блоге Decoded.