Fransız polisi ile Avast 850 bin makinanın olduğu botneti çökertti

Siber güvenlik şirketi Avast ve Fransız polisi, 850 binden fazla bilgisayardaki Retadup adlı zararlı yazılımı etkisiz hale getirdi.

Retadup 2017’den beri siber suçlular tarafından kripto para madenciliği için kullanılıyor. Söz konusu yazılım, son aylarda en çok Latin Amerika’daki bulunan cihazlara Monera kripto para madencileri yüklemek için kullanılmış.

Avast, Retadup’ın arkasındaki kötü niyetli aktörlerin faaliyetlerini izlemek için Mart 2019’dan beri çalıştıklarını açıkladı. Yapılan inceleme sonucunda, zararlı yazılım tarafından kullanılan C&C iletişim protokolünün, C&C sunucusuna erişimi bulunan birinin, gizliliği ihlal edilmiş cihazdan zararlı yazılımı kaldırmak için, kendi yararına kullanabileceği bir tasarım hatasına sahip olduğu ortaya çıktı.

İlgili haber: Bitdefender Europol ve Romanya polisi siber suçlulara karşı güçlerini birleştirdi

Retadup C&C alt yapısının daha çok Fransa’da bulunduğunun tespit edilmesinden sonra Avast, Fransa’nın ulusal jandarma teşkilatına bağlı Siber Suçlarla Mücadele Merkezi’ne (C3N) ulaştı.

Bir ekran görüntüsü ipucu olarak yetti

Kolluk kuvvetleri, Avast’ın kurbanlarla ilgili bazı veriler toplamasına izin veren siber suçlulara hosting hizmeti sunan şirketten C&C sunucusuna ait bir görüntü elde etti. Şirkete, sadece kurbanlar hakkında herhangi bir kişisel belge içermeyen C&C ekran görüntüsü verildi. Şirket araştırmacıları ekran görüntüsündeki verilerle 850 binden fazla virüslü PC bulunduğunu, büyük çoğunluğunun Latin Amerika’da olduğunu ve mağdurların% 85’inden fazlasında üçüncü taraf güvenlik yazılımının yüklü olmadığını tespit etti. Peru virüsten etkilenen kurbanların bulunduğu ülkelerin başında geliyor. Peru’yu Venezuella, Bolivya, Meksika ve Ekvador takip ediyor.

Avast’ın gerçekleştirdiği inceleme, Retadup geliştirdiği tahmin edilen ‘sanal kişinin’ Nisan 2018’de bir Twitter hesabı oluşturduğunu ve Trend Micro’nun tehdit unsurunun yeni türevlerini ve özelliklerini açıklayan bir blog yazısı yayınlamasının ardından zararlı yazılımdan kendi adına pay çıkardığını ortaya koydu. Söz konusu Twitter hesabı hala aktif durumda ancak 2018 Nisanından bu yana herhangi bir paylaşım yapmamış.

Temmuz 2019’dan sonra Fransız polisinin Retadup’ı takip etmek için savcılardan onay almasının ardından,  saldırganların C&C suncusu, Avast’ın C&C ptotokol hatasını kendi yararına kullanmak için kurduğu sunucu ile değiştirildi.

Avast’tan Jan Vojtěšek Çarşamba günü kaleme aldığı blog yazısında, “Dezenfeksiyon sunucusu, gelen bot taleplerine, zararlı yazılımın bağlantı parçalarının kendi kendini imha etmesine neden olan spesifik bir cevapla yanıt verdi” dedi.

FBI durumdan haberdar edilirken, Amerika Birleşik Devletleri’nde bulunan C&C altyapısının bazı kısımlarının etkisiz hale getirilmesine yardımcı oldu. Avast, siber suçluların 8 Temmuz’a kadar botları üzerindeki kontrollerini  kaybettiğini söyledi.

Siber Bülten abone listesine kaydolmak için formu doldurunuz

 

Leave a Reply

E-posta hesabınız yayımlanmayacak. Gerekli alanlar * ile işaretlenmişlerdir

*

This site uses Akismet to reduce spam. Learn how your comment data is processed.