Die französische Nationalpolizei hat ein Krypto-Botnetz unschädlich gemacht, das weltweit 850.000 Computer mit dem Retadup-Wurm infiziert hat
Das Cybercrime Fighting Center C3N der französischen Nationalpolizei Gendarmerie ist in Zusammenarbeit mit Sicherheitsexperten der Security-Firma Avast erfolgreich gegen ein Botnetz vorgegangen. Dieses hatte die Kontrolle über 850.000, mit Retadup, einer Krypto-Mining-Malware, infizierte Windows-Computer zum Zwecke des Monero-Minings.
Retadup ist sehr vielseitig einsetzbar
Der französischen Polizei ist es gelungen, den C & C-Server in einem Pariser Vorort zu übernehmen und abzuschalten, der das Netzwerk infizierter Rechner kontrollierte. Auf diesem Kontroll-Server hatten Cyberkriminelle den Retadup-Wurm etabliert, der darauf programmiert war, verdeckt und selbständig die Rechenleistung der inzwischen über 850.000 infizierten Windows-Computer zu nutzen, um die Kryptowährung Monero zu minen. Die Beamten setzten in Zusammenarbeit mit dem FBI einen Desinfektionsserver auf, der die Malware dazu brachte, sich selbst zu zerstören. Weltweite Infektionen mit Retadup, die in über 100 Ländern auftraten, aber hauptsächlich in Mittel- und Südamerika, wurden so neutralisiert. Die Antivirenfirma Avast gab am Mittwoch die Operation bekannt.
Verbreitung per E-Mail & USB-Sticks
Sowohl die Sicherheitsfirma Avast, als auch Trend Micro haben den Wurm Retadup bereits seit dem vergangenen Frühjahr im Visier. Ein Hinweis von Avast auf einen Spam-Server, der Retadup an zahlreiche Systeme in über hundert Länder verschickt hatte, brachte die französische Polizei auf die richtige Spur. Der Virus wurde über E-Mails verbreitet, die schnelles Geld versprachen oder erotische Bilder anboten, aber auch über infizierte USB-Sticks, berichtet BBC.
Die Hacker verwendeten den Virus Retadup dann zur unbemerkten Fernsteuerung der Computer, um die Kryptowährung Monero für sich zu minen. Als zusätzliches Angebot haben sie zahlender Kundschaft ihr Botnetz zur Verfügung gestellt. Dieses setzte man dann für das Verbreiten von Ransomware sowie dem Abgreifen von Patienten- und Krankhausdaten in Israel ein. Die Betreiber des Botnetzes sollen seit dem Jahr 2016 Millionen Euro damit verdient haben. Sie befinden sich derzeit immer noch auf freiem Fuß.
DDoS-Angriffe hätten so ziemlich jede Seite lahmlegen können!
C3N-Chef Jean-Dominique Nollet gab gegenüber dem Radiosender France Inter an, dass die Opfer des Botnetzes durchaus theoretisch auch zu DDoS-Angriffen hätten missbraucht werden können. „850.000 infizierte Rechner stellen eine massive Feuerkraft dar, mit der man so ziemlich jede Webseite des Planeten hätte lahmlegen können“.
Der Replikatserver würde auch weiterhin laufen. Damit haben infizierte Computer, die in den letzten Wochen nicht online waren, immer noch die Möglichkeit zur Desinfektion von Retadup.
Foto funstarts33, thx!
Tarnkappe.info