Výskumný tím bezpečnostnej spoločnosti Avast v spolupráci s francúzskym Centrom boja proti kyberkriminalite (C3N) odhalil a zastavil nebezpečný malvér, ktorý v Južnej Amerike napádal počítače s operačným systémom Windows. Retadup inštaloval na zariadenia svojich obetí dodatočný malvér na ťaženie kryptomeny Monero, v niektorých prípadoch aj ransomvér Stop alebo nástroj na kradnutie hesiel Arkei.
Hoci bol malvér aktívny už dlhšie, výskumníci mu začali venovať väčšiu pozornosť až v marci tohto roku, keď na seba upozornil pokročilou implementáciou skrytého procesu ťažby kryptomeny. Analýzou sa zistilo, že bol napísaný v skriptovacích jazykoch AutoHotkey a AutoIt a prítomnosť v počítači si zachovával vytváraním registrov a/alebo naplánovaných úloh. Okrem toho mal viac kontrolných mechanizmov, ktoré bránili v jeho odhalení. Hlavný riadiaci server útočníkov, ktorý zasielal malvéru príkazy, sa nachádzal vo Francúzsku. Retadup prestal fungovať v júli po tom, čo kybernetický tím tamojšej vojenskej polície prevzal nad serverom kontrolu vďaka jeho chybnej konfigurácii. Vyšetrovatelia následne vložili do komunikačného kanála medzi serverom a malvérom skript, ktorým prinútili malvér zničiť samého seba. Druhý takýto server sa nachádzal v USA, kde ho po upozornení vypla FBI. Útočníkom sa celkovo podarilo infikovať vyše 850-tisíc zariadení, z ktorých mala viac ako polovica nainštalovaný operačný systém Windows 7. Antivírusový program však chýbal až v 85% z nich.
Najviac obetí bolo z Peru, Venezuely, Bolívie, Ekvádoru a Mexika. Nevedno, koľko presne dokázali útočníci cryptojackingom zarobiť. V čase, keď bol vytvorený snímok riadiaceho serveru (tzv. snapshot) však útočníci používali Monero adresu, na ktorú pribudlo za necelý jeden mesiac 53,72 XMR (približne 4200 dolárov). S Retadupom sa spájajú aj dve zaujímavosti. Po získaní snímku serveru výskumníci zistili, že útočníci nechtiac infikovali svoj server malvérom Neshta. Ten napáda všetky spustiteľné súbory na zariadení a vkladá do nich vlastný kód, ktorý zhromažďuje a preposiela informácie o infikovanom systéme. Druhou kuriozitou je snaha autorov Retadupu získať pozornosť bezpečnostných firiem. Napriek tomu, že spoločnosť Trend Micro v rokoch 2017 a 2018 napísala o malvéri niekoľko článkov, autori si vytvorili na Twitteri falošný účet, ktorým na seba chceli upozorniť. V jednom prípade dokonca zverejnili snímku obrazovky riadiaceho panelu.
Zdroj: Cybersec