Retadup isimli zararlı yazılım, bilgisayarlara bulaşıyor ve bir bilgisayarın işlemcisini kripto para madenciliği için kullanmaya başlıyor. Kötü amaçlı yazılım, temelde para kazanmak için kullanılmış olmasına rağmen bu zararlı yazılımlar, kolayca casus yazılım veya fidye yazılımı gibi başka kötü amaçlı kodları da çalıştırabiliyor.
Kötü amaçlı yazılım, aynı zamanda bilgisayardan bilgisayara yayılmasına izin veren kayda değer riskli özelliklere de sahip. Retadup, ilk ortaya çıkmasından bu yana ABD, Rusya, Orta ve Güney Amerika dâhil olmak üzere tüm dünyaya yayıldı.
Avast, Retadup’u etkisiz hâle getirdi:
Yılların güvenlik firması Avast ise bu casus yazılımını etkisiz hâle getirdiklerini bir blog yazısıyla duyurdu. Avast, kötü amaçlı yazılımın komut ve kontrol sunucusundaki bir yazılım kusurunu keşfettikten sonra bu yazılıma müdahale etmek için dâhil oldu.
Güvenlik firması, bu kötü amaçlı yazılımın kurbanların bilgisayarlarına girerek bu zararlı yazılımı ortadan kaldıracaktı ancak Avast, bu işlemi yapmak için yeterli yasal otoriteye sahip değildi. Kötü amaçlı yazılımın altyapısının çoğu Fransa'da bulunduğundan Avast, Fransız polisi ile temasa geçti.
Temmuz ayından beri çalışmalarına devam eden Fransız polisi, sunucuyu kontrol altına alma ve etkilenen bilgisayarları temizleme için operasyonlara başladı. Fransız polisine göre Retadup, dünyanın en büyük botnet ağı olarak değerlendirildi.
Araştırmacılar; kötü amaçlı yazılım operatörleri tarafından fark edilmemesi için dikkatle çalışmak zorunda olduklarını, kötü amaçlı yazılım operatörlerinin misillemede bulunabileceğinden korktuklarını söylediler. Güvenlik şirketi, "Kötü amaçlı yazılım geliştiricileri, çoğunlukla iyi bir pasif gelir elde ederek kripto para madenciliği yapıyorlardı ama Retadup'u tamamen ortadan kaldırmak üzere olduğumuzu anlarlarsa kötü amaçlı yazılımlarını son vurgunlarını yapmak için yüz binlerce bilgisayara fidye yazılımı gönderebilirlerdi” açıklamasını yaptı.
Botnet, sunucularda bulunan bir açık sayesinde imha edildi:
Polis, kötü niyetli komut ve kontrol sunucusunu Retadup'un kendi kendini imha etme durumlarını birbirine bağlayan hazırlanmış bir dezenfeksiyon sunucusuyla değiştirdi. Etkinliğinin ilk saniyesinde, sunucudan komut almak için birkaç bin robot bağlandı. Dezenfeksiyon sunucusu onlara cevap verdi ve onları dezenfekte ederek protokol tasarım kusurunu kötüye kullandı. Bunu yaparak şirket, kötü amaçlı yazılımın çalışmasını durdurabildi ve kötü amaçlı kodu 850.000'den fazla virüslü bilgisayarda kaldırdı.
Fransız polisinin siber birim başkanı Jean-Dominique Nollet, kötü amaçlı yazılım operatörlerinin birkaç milyon euro değerinde kripto para birimi ürettiğini söyledi. Bir kötü amaçlı yazılım botnetin uzaktan kapatılması, bu alanda nadir görülebilecek bir başarı olarak yorumlanıyor.
