info[at]nsec.ir
(+۹۸)-۳۱-۳۳۹۱۵۳۳۶

ضربه‌فنی بدافزار از راه دور

خلاصه: آنتی ویروس آواست و پلیس فرانسه اعلام کردند که توانسته‌اند زیر ساخت‌های بدافزار رتاداپ (Retadup) را از راه دور و بدون دخالت قربانیان به کلی از بین ببرند. 

 

آنتی ویروس آواست و پلیس فرانسه اعلام کردند که زیر ساخت‌های بدافزار رتاداپ (Retadup) را به کلی از بین برده‌اند.

بدافزار رتاداپ از سال ۲۰۱۷ شناسایی شده است. نسخه اولیه آن تنها یک تروجان ساده بود که اطلاعات سیستم‌ قربانیان را می‌ربود و برای تحلیل بیشتر به سرور خود ارسال می‌کرد. نکته جالبی که در مورد نسخه اولیه آن وجود داشت گسترش کرم مانند رتاداپ بود که از طریق فایل های LNL در درایوهای به اشتراک گذاشته‌شده انجام می‌شد. اما رتاداپ در نسخه‌های بعدی خود به استخراج رمزارزها علاقه نشان داد و از طرح‌های استخراج رمزارزها پشتیبانی می‌کرد. در ماه‌های اخیر رتاداپ عمدتاً به استخراج رمزارز مونرو در آمریکای لاتین مشغول بوده است.

شرکت آواست که یک شرکت ارائه دهنده آنتی‌ویروس است بیان می‌کند که از ماه مارس امسال در حال ردیابی و رصد توسعه‌دهندگان این بدافزار بوده است. تا این که یکی از آنالیزهای این شرکت نشان می‌دهد که رخنه‌ای در پروتکل ارتباطی کنترل و فرمان این بدافزار وجود دارد. این رخنه اگرچه اجازه می‌داد تا بدافزار را از روی ماشین آلوده پاک کنند اما تنها توسط کسی قابل بهره‌برداری بود که به سرور فرمان و کنترل دسترسی داشته باشد.

پس از آن، آواست کشف کرد که زیرساخت‌های کنترل و فرمان رتاداپ عمدتاً در فرانسه مستقر هستند. از این رو آواست به پلیس مبارزه با جرائم سایبری فرانسه که به C3N معروف است رجوع کرد و از آن‌ها درخواست کمک کرد. پلیس C3N نیز از طریق شرکتی که به مجرمین رتاداپ سرویس هاست ارائه کرده بود توانست اسنپ‌شاتی از سرور کنترل و فرمان رتادپ به دست آورد. این مساله به آن‌ها کمک کرد تا اطلاعاتی از قربانیان رداتاپ به دست آورند.

گفته می‌شود که این اسنپ‌شات شامل هیچ اطلاعاتی در مورد حریم خصوصی قربانیان نبوده است؛ اما نشان داده است که بیش از ۸۵۰ هزار سیستم، آلوده رتاداپ شده‌اند که بیشتر آن‌ها در آمریکای لاتین و به ویژه در کشورهای پرو، ونزوئلا، بولیوی، مکزیک و اکوادور مستقر هستند.

در ادامه پلیس فرانسه و آواست به زیرساخت‌های سرور کنترل و فرمان رتاداپ دسترسی پیدا کردند و به رتاداپ در سیستم قربانیان دستور داده‌اند که خودش را از بین ببرد. در نهایت آن‌ها توانستند ۸۵۰ هزار سیستم ویندوزی را از شر این بدافزار نجات دهند، بدون آن که هیچ کمکی از صاحبان سیستم‌های قربانی دریافت کنند. پس از اتمام این عملیات پاک‌سازی گسترده، پلیس فرانسه در حساب توییتری خود اعلام کرد که این بدافزار به کلی نابوده شده است، اما برای اطمینان، سرور پاک کننده رتاداپ تا چند ماه آینده فعال باقی می‌ماند.
 

    

مطالب مرتبط