En una hazaña rara, la policía francesa ha secuestrado y neutralizado una botnet masiva de minería de criptomonedas que controla cerca de un millón de computadoras infectadas.
los notorio malware Retadup infecta las computadoras y comienza a extraer criptomonedas al agotar la energía del procesador de una computadora. Aunque el malware se utilizó para generar dinero, los operadores de malware fácilmente podrían haber ejecutado otro código malicioso, como spyware o ransomware. El malware también tiene propiedades de gusanos, lo que le permite propagarse de una computadora a otra.
Desde su primera aparición, el malware de minería de criptomonedas se ha extendido por todo el mundo, incluidos EE. UU., Rusia y América Central y del Sur.
Según una publicación de blog anunciando el busto, la firma de seguridad Avast confirmó que la operación fue exitosa.
La empresa de seguridad se involucró después de descubrir una falla de diseño en el servidor de comando y control del malware. Esa falla, si se explota adecuadamente, "nos habría permitido eliminar el malware de las computadoras de sus víctimas" sin enviar ningún código a las computadoras de las víctimas, dijeron los investigadores.
La hazaña habría desmantelado la operación, pero los investigadores carecían de la autoridad legal para seguir adelante. Debido a que la mayor parte de la infraestructura del malware se encontraba en Francia, Avast contactó a la policía francesa. Después de recibir el visto bueno de los fiscales en julio, la policía siguió adelante con la operación para tomar el control del servidor y desinfectar las computadoras afectadas.
La policía francesa llamó al botnet "Una de las redes más grandes" de computadoras secuestradas en el mundo.
La operación funcionó obteniendo en secreto una instantánea del servidor de comando y control del malware con la cooperación de su proveedor de alojamiento web. Los investigadores dijeron que tenían que trabajar con cuidado para no ser notados por los operadores de malware, por temor a que los operadores de malware pudieran tomar represalias.
"Los autores de malware distribuían principalmente mineros de criptomonedas, lo que generaba un ingreso pasivo muy bueno", dijo la compañía de seguridad. "Pero si se dieron cuenta de que estábamos a punto de eliminar Retadup en su totalidad, podrían haber enviado ransomware a cientos de miles de computadoras mientras intentaban extraer su malware para obtener algunas últimas ganancias".
Con una copia del servidor de comando y control malicioso en la mano, los investigadores construyeron su propia réplica, que desinfectó las computadoras de las víctimas en lugar de causar infecciones.
"[La policía] reemplazó el servidor malicioso [comando y control] con un servidor de desinfección preparado que hizo que las instancias conectadas de Retadup se autodestruyeran", dijo Avast en una publicación de blog. “En el primer segundo de su actividad, varios miles de bots se conectaron a él para obtener comandos del servidor. El servidor de desinfección respondió a ellos y los desinfectó, abusando de la falla de diseño del protocolo ".
Al hacerlo, la compañía pudo detener el funcionamiento del malware y eliminar el código malicioso en más de 850,000 computadoras infectadas.
Jean-Dominique Nollet, jefe de la unidad cibernética de la policía francesa, dijo Los operadores de malware generaron criptomonedas por valor de varios millones de euros.
El cierre remoto de una botnet de malware es un logro raro, pero difícil de llevar a cabo.
Hace varios años, el gobierno de EE. UU. Revocó la Regla 41, que ahora permite a los jueces emitir órdenes de registro e incautación fuera de su jurisdicción. Muchos vieron la medida como un esfuerzo del FBI para llevar a cabo operaciones de piratería remota sin verse obstaculizados por la localidad de la jurisdicción de un juez. Los críticos argumentaron que sí establecer un precedente peligroso piratear innumerables computadoras con una sola orden de un juez amigo.
Desde entonces, la regla enmendada se ha utilizado para desmantelar al menos una operación importante de malware, la llamada botnet Joanap, vinculada a piratas informáticos que trabajan para el régimen norcoreano.