La gendarmerie française et Avast ont neutralisé un botnet de 850 000 machines

Par

le

Des chercheurs d’Avast ont collaboré avec la gendarmerie française pour mettre fin à un botnet qui a infecté 850.000 machines.

En collaborant avec les autorités judiciaires françaises et américaines, la société d’antivirus Avast a mis au rebut un botnet minant de la cryptomonnaie qui avait infecté près d’un million d’ordinateurs et supprimé les logiciels malveillants des ordinateurs des victimes.

Retadup est un ver malveillant, un logiciel malveillant (malware) qui se réplique automatiquement, qui utilise subrepticement le processeur d’un ordinateur pour miner de la cryptomonnaie, ce qui génère de l’argent pour les pirates. Il est également capable d’exécuter d’autres types de programmes malveillants, tels que les ransomwares, et se propage généralement via des pièces jointes, des réseaux de partage de fichiers et des liens vers des sites Web malveillants.

Retadup avait infecté au moins 850 000 ordinateurs. Alors que la plupart d’entre eux se trouvaient en Amérique latine, il s’était également étendu aux États-Unis et à la Russie.

Après avoir analysé le programme malveillant en mars, l’équipe Avast Threat Intelligence a identifié une faille dans la conception du protocole de communication du serveur de commande et contrôle (C&C) de Retadup, qui permettrait de le supprimer des ordinateurs des victimes.

Avec la plupart des infrastructures C&C de Retadup situées en France, Avast a collaboré avec les autorités françaises, et notamment la gendarmerie, qui ont pris le contrôle des serveurs. Le FBI a également été sollicité car une partie de l’infrastructure de C&C se trouvait aux États-Unis.

Une fois les serveurs sécurisés, les chercheurs Avast ont créé une réplique qui a demandé à toutes les instances connectées de Retadup de se supprimer. Avast dit que du 2 juillet au 19 août, plus de 850 000 systèmes ont été connectés aux serveurs, neutralisant ainsi l’infection. “Dans la toute première seconde de son activité, plusieurs milliers de bots s’y sont connectés afin de récupérer les commandes du serveur. Le serveur de désinfection leur a répondu et les a désinfectés, en abusant de la faille de conception du protocole », a écrit l’équipe.

Aucune arrestation n’a été effectuée en lien avec Retadup. Avast dit que son créateur s’est vanté du malware après la publication de son existence. Les chercheurs en sécurité d’Under the Breach pensent que le responsable est un Palestinien âgé de 26 ans, selon ZDNet.


Articles recommandés