Hopp til navigasjon Hopp til innhold
Person(e) bak skadevaren hadde gjort en feil. (Ill.: Avast)

Avast og fransk politi stoppet krypto-orm som hadde infisert 850 000 maskiner

Angriperne hadde gjort en feil…

Franske og amerikanske myndigheter har gjennom et samarbeid med Avast Antivirus klart å knekke et botnett som brukte intetanende ofres datamaskiner for å grave etter kryptovaluta.

Tjente penger for angriperen

Over 850 000 maskiner har vært infisert av skadevaren Retadup. Den dupliserer seg selv og bruker ofrenes prosessor for å grave etter kryptovaluta – en prosess som sørger for at personene bak skadevaren tjener penger.

Skadevaren kan også fungere som et løsepengevirus, og spres blant annet gjennom e-post-vedlegg.

De fleste infiserte maskinene befant seg i Latin-Amerika, men det hadde også rukket å spre seg til både USA og Russland.

Men i Mars gjennomførte Avast en analyse av skadevaren, og selskapets Threat Intelligence-team oppdaget en designfeil som gjorde det mulig å fjerne den fra ofrenes maskiner.

Instruerte skadevaren til å slette seg selv

Ettersom skadevarens infrastruktur var lokalisert i Frankrike, samarbeidet Avast med myndighetene for å ta over Retadups servere. FBI var også involvert i arbeidet og tok over Retradups servere i USA.

Deretter utviklet Avast en klone av skadevaren som instruerte resten av Retadup-instansene til å slette seg selv. Ifølge Avast ble over 850 000 instanser av skadevaren slettet mellom 2. juli – 19. august.

«I det første sekundet den ble aktiv koblet flere tusen bot-er seg til for å motta kommandoer fra serveren. Serveren responderte og desinfiserte dem ved å misbruke feilen i protokolldesignet», skriver Avast i et blogginnlegg.

Foreløpig er det ikke gjort noen arrestasjoner i forbindelse med saken. Sikkerhetseksperter fra Under the Breach tror at den ansvarlige personen er en 26 år gammel mann fra Palestina, skriver ZDNet.

Kilde:
ZDNet

Stikkord: avast, polit, virus