{"id":222279,"date":"2019-09-02T22:39:10","date_gmt":"2019-09-02T20:39:10","guid":{"rendered":"https:\/\/www.borncity.com\/blog\/?p=222279"},"modified":"2023-07-28T18:23:49","modified_gmt":"2023-07-28T16:23:49","slug":"franzsische-polizei-entfernt-retadup-malware-von-850-000-gerten","status":"publish","type":"post","link":"https:\/\/borncity.com\/blog\/2019\/09\/02\/franzsische-polizei-entfernt-retadup-malware-von-850-000-gerten\/","title":{"rendered":"Franz&ouml;sische Polizei entfernt RETADUP-Malware von 850.000 Ger&auml;ten"},"content":{"rendered":"<p><img loading=\"lazy\" decoding=\"async\" style=\"float: left; margin: 0px 10px 0px 0px; display: inline\" src=\"https:\/\/borncity.com\/blog\/wp-content\/uploads\/2015\/01\/Schutz.jpg\" width=\"40\" align=\"left\" height=\"47\"\/>Noch eine kurze Nachricht von Ende August 2019: Die franz\u00f6sische Polizei hat ein Botnet, welches die RETADUP-Malware verteilt hat, abgeschaltet. Vorher wurde daf\u00fcr gesorgt, dass 850.000 infizierte Ger\u00e4te \u00fcber die Command &amp; Control-Server von der Malware bereinigt wurden. <\/p>\n<p><!--more--><\/p>\n<p>Das ist ein bemerkenswerter Schritt, dass Polizeibeh\u00f6rden nicht nur Bot-Netze abschalten, sondern auch die infizierten Ger\u00e4te von Malware befreien. Meist wird ein solcher Schritt aus rechtlichen Gr\u00fcnden vermieden. Die Meldung \u00fcber die erfolgreiche Abschaltung des Botnetzes stammt bereits vom 28. August 2019.<\/p>\n<blockquote class=\"twitter-tweet\">\n<p lang=\"fr\" dir=\"ltr\"><a href=\"https:\/\/twitter.com\/hashtag\/BellesAffaires?src=hash&amp;ref_src=twsrc%5Etfw\">#BellesAffaires<\/a> <a href=\"https:\/\/twitter.com\/hashtag\/Cybercriminalit%C3%A9?src=hash&amp;ref_src=twsrc%5Etfw\">#Cybercriminalit\u00e9<\/a> <br \/>La <a href=\"https:\/\/twitter.com\/hashtag\/gendarmerie?src=hash&amp;ref_src=twsrc%5Etfw\">#gendarmerie<\/a> d\u00e9mant\u00e8le l'un des plus gros r\u00e9seaux d'ordinateurs pirat\u00e9s au monde ! En lien avec le <a href=\"https:\/\/twitter.com\/hashtag\/FBI?src=hash&amp;ref_src=twsrc%5Etfw\">#FBI<\/a>, les <a href=\"https:\/\/twitter.com\/hashtag\/cybergendarmes?src=hash&amp;ref_src=twsrc%5Etfw\">#cybergendarmes<\/a> parviennent \u00e0 \"d\u00e9sinfecter\" \u00e0 distance plus de 850 000 ordinateurs. Une <a href=\"https:\/\/twitter.com\/hashtag\/Premi%C3%A8reMondiale?src=hash&amp;ref_src=twsrc%5Etfw\">#Premi\u00e8reMondiale<\/a> ! <\/p>\n<p>\u2014 Gendarmerie nationale (@Gendarmerie) <a href=\"https:\/\/twitter.com\/Gendarmerie\/status\/1166603249664897025?ref_src=twsrc%5Etfw\">August 28, 2019<\/a><\/p><\/blockquote>\n<p><script async src=\"https:\/\/platform.twitter.com\/widgets.js\" charset=\"utf-8\"><\/script> <\/p>\n<p>Die englischsprachige Meldung mit technischen Details wurde \u00fcber diesen Tweet angek\u00fcndigt.<\/p>\n<blockquote class=\"twitter-tweet\">\n<p lang=\"en\" dir=\"ltr\">Now the technical article about the <a href=\"https:\/\/twitter.com\/hashtag\/botnet?src=hash&amp;ref_src=twsrc%5Etfw\">#botnet<\/a> <a href=\"https:\/\/twitter.com\/hashtag\/RETADUP?src=hash&amp;ref_src=twsrc%5Etfw\">#RETADUP<\/a> !<br \/>Thanks a lot to <a href=\"https:\/\/twitter.com\/avast_antivirus?ref_src=twsrc%5Etfw\">@avast_antivirus<\/a> for this awsome collaboration !<a href=\"https:\/\/t.co\/bSKdHNMGGo\">https:\/\/t.co\/bSKdHNMGGo<\/a><br \/>CC <a href=\"https:\/\/twitter.com\/AvastFrance?ref_src=twsrc%5Etfw\">@AvastFrance<\/a> <a href=\"https:\/\/twitter.com\/ANSSI_FR?ref_src=twsrc%5Etfw\">@ANSSI_FR<\/a><\/p>\n<p>\u2014 failsafe (@failsafe_0x4D5A) <a href=\"https:\/\/twitter.com\/failsafe_0x4D5A\/status\/1166608097080745984?ref_src=twsrc%5Etfw\">August 28, 2019<\/a><\/p><\/blockquote>\n<p><script async src=\"https:\/\/platform.twitter.com\/widgets.js\" charset=\"utf-8\"><\/script>  <\/p>\n<h2>Einige Details zu RETADUP<\/h2>\n<\/p>\n<p>Retadup ist ein b\u00f6sartiger Wurm, der Windows-Computer bef\u00e4llt und vor allem in Lateinamerika verbreitet ist. Aufgedeckt wurde RETADUP von Sicherheitsforschern der Firma Avast. Die nachfolgende Karte stammt von Avast, und zeigt die Verteilung der Infektionen.<\/p>\n<p><img loading=\"lazy\" decoding=\"async\" title=\"RETADUP Infektionen\" alt=\"RETADUP Infektionen\" src=\"https:\/\/web.archive.org\/web\/20230712161723\/https:\/\/decoded.avast.io\/wp-content\/uploads\/sites\/2\/2019\/08\/map_logos.png\" width=\"577\" height=\"384\"\/><br \/>(RETADUP Infektionen, Quelle: avast)<\/p>\n<p>Das Ziel der Malware ist es, sich dauerhaft auf den Computern der Opfer einzunisten, sich von dort weiter zu verbreiten und zus\u00e4tzliche Malware-Nutzlasten auf infizierten Rechnern zu installieren. <\/p>\n<p>In den allermeisten F\u00e4llen ist die installierte Nutzlast ein Crypt-Miner, der Krypto-Geld f\u00fcr die Cyber-Kriminellen sch\u00fcrfen soll. In einigen F\u00e4llen haben die Sicherheitsforscher jedoch auch beobachtet, wie Retadup die Stop-Ransomware und den Arkei-Passwort-Stehler verteilt hat.<\/p>\n<h2>Informationen zur Aushebung des Botnet<\/h2>\n<p>Die Avast Sicherheitsforscher beobachteten das Botnet und den RETADUP -Wurm seit M\u00e4rz 2019. Dann entdeckte die Gruppe eine Designschw\u00e4che im Protokoll, mit dem die Malware mit den Command &amp; Control-Servern (C&amp;C-Servern) kommuniziert. Schnell war klar, das die Schwachstelle ausgenutzt werden k\u00f6nnte, um die Malware von den Computern der Opfer zu entfernen, ohne einen Zusatzcode auszuf\u00fchren (in meinen Augen aus rechtlichen Erw\u00e4gungen wohl der springende Punkt).<\/p>\n<p>Um dies zu erreichen, mussten die Forscher jedoch die Kontrolle \u00fcber den C&amp;C-Server der Malware haben. Dieser C&amp;C-Server stand jedoch bei einem Hosting-Provider in der Region Ile-de-France im Norden von Zentral-Frankreich. Deshalb kontaktierten die Forscher Ende M\u00e4rz dieses Jahres das Cybercrime Fighting Center (C3N) der franz\u00f6sischen Nationalen Gendarmerie. Sie teilten ihre Ergebnisse mit und schlugen einen geheimen Plan zur Beendigung des RETADUP-Virus und zum Schutz der Opfer vor.<\/p>\n<p>Da ein Teil der Infrastruktur des Botnet in den USA angesiedelt war, kontaktierte die franz\u00f6sische Polizei auch das FBI. Diese schalteten darauf hin die betreffenden Server in den USA ab. Am 8. Juli 2019 verloren die Cyber-Kriminellen die Kontrolle \u00fcber ihr Botnet. Gem\u00e4\u00df dem vorgeschlagenen Plan \u00fcbernahmen die franz\u00f6sischen Beh\u00f6rden im Juli die Kontrolle \u00fcber den RETADUP C&amp;C-Server. Dieser wurde dann durch einen vorbereiteten Desinfektions-Server ersetzten. Dieser nutzte den Designfehler im Kommunikationsprotokoll aus und wies die Malware auf allen infizierten Clients, die diesen Server kontaktierten, an, sich selbst zu zerst\u00f6ren. <\/p>\n<p>Bereits ab der ersten Sekunde kontaktierten mehrere tausend Bots den Server, um sich neue Befehle abzuholen. Alle Bots erhielten dann die Anweisung, die Malware zu zerst\u00f6ren. Bis zur Ver\u00f6ffentlichung <a href=\"https:\/\/web.archive.org\/web\/20230719131809\/https:\/\/decoded.avast.io\/janvojtesek\/putting-an-end-to-retadup-a-malicious-worm-that-infected-hundreds-of-thousands\/\" target=\"_blank\" rel=\"noopener noreferrer\">dieses AVAST-Artikels<\/a> waren 850.000 infizierte Rechner desinfiziert. Ach, noch was: Interessant ist die Verteilung der (per AutoIt verteilten) Malware auf die diversen Windows-Versionen. <\/p>\n<p><img decoding=\"async\" title=\"RETADUP Windows-Verteilung\" alt=\"RETADUP Windows-Verteilung\" src=\"https:\/\/web.archive.org\/web\/20230712161722\/https:\/\/decoded.avast.io\/wp-content\/uploads\/sites\/2\/2019\/08\/os_ver.png\"\/><br \/>(RETADUP Windows-Verteilung, Quelle: avast)<\/p>\n<p>Details zum Botnet und zu der Aktion sind in <a href=\"https:\/\/web.archive.org\/web\/20230719131809\/https:\/\/decoded.avast.io\/janvojtesek\/putting-an-end-to-retadup-a-malicious-worm-that-infected-hundreds-of-thousands\/\" target=\"_blank\" rel=\"noopener noreferrer\">diesem englischsprachigen Avast Blog-Beitrag<\/a> beschrieben. <\/p>\n","protected":false},"excerpt":{"rendered":"<p>Noch eine kurze Nachricht von Ende August 2019: Die franz\u00f6sische Polizei hat ein Botnet, welches die RETADUP-Malware verteilt hat, abgeschaltet. Vorher wurde daf\u00fcr gesorgt, dass 850.000 infizierte Ger\u00e4te \u00fcber die Command &amp; Control-Server von der Malware bereinigt wurden.<\/p>\n","protected":false},"author":2,"featured_media":0,"comment_status":"open","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[426],"tags":[1018,4328],"class_list":["post-222279","post","type-post","status-publish","format-standard","hentry","category-sicherheit","tag-malware","tag-sicherheit"],"_links":{"self":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts\/222279","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/users\/2"}],"replies":[{"embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/comments?post=222279"}],"version-history":[{"count":0,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts\/222279\/revisions"}],"wp:attachment":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/media?parent=222279"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/categories?post=222279"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/tags?post=222279"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}