Retadup : fin de parcours pour ce ver informatique contrôlé depuis la France

Sécurité
retadup

Avast et la gendarmerie nationale estiment être venus à bout du ver Retadup, dont l’infrastructure de contrôle était localisée essentiellement en France.

Nom : Retadup. Nature : ver informatique. Espérance de vie : désormais nulle, selon la gendarmerie nationale.

Cette dernière estime en effet être venue à bout de la menace.
Elle en avait été avertie en mars 2019 par Avast.

L’éditeur antivirus tchèque avait donné l’alerte après avoir constaté que l’infrastructure destinée à contrôler Retadup était localisée essentiellement en France*.
Son intérêt pour le ver informatique découlait du fait qu’il servait à distribuer un logiciel malveillant découvert au préalable : un mineur de cryptomonnaie.

D’après les derniers relevés, Retadup a infecté au moins 850 000 machines sous Windows, principalement en Amérique du Sud. Il a aussi servi à diffuser un rançongiciel et un aspirateur de mots de passe (Trend Micro avait évoqué ce cas dès 2017 dans des hôpitaux israéliens).

retadup-carte

Une copie presque parfaite

L’enquête a mis au jour une dizaine de variantes de Retadup. Certaines sont écrites en AutoIt ; d’autres en AutoHotKey. Dans les deux cas, la charge malveillante se compose de deux fichiers : un script et un interpréteur. En AutoHotKey, le script est en code source ; en AutoIt, il est compilé.

Le ver dispose de mécanismes d’autodéfense. Avant de tenter de s’implanter, il vérifie par exemple la présence de certaines solutions de sécurité et de virtualisation. Pour s’établir de façon permanente, il planifie une tâche ou modifie le registre Windows.

Son exécution est rendue plus discrète par l’utilisation de fichiers .lnk, c’est-à-dire des raccourcis dirigeant vers l’exécutable.

Le serveur de commande, en Node.js avec MongoDB, était situé chez un hébergeur en région parisienne.
En juillet, la gendarmerie a obtenu le feu vert du procureur de la République pour mettre en oeuvre le plan suggéré par Avast. En l’occurrence, saisir le serveur concerné et le remplacer par une copie modifiée afin de couper les ponts avec les machines infectées. Et ainsi endiguer la propagation.

* Le FBI a également été mis dans la boucle, une partie de l’infrastructure se trouvant aux États-Unis.

Photo d’illustration © fotogestoeber via Shutterstock.com

Lire aussi :

Lire la biographie de l´auteur  Masquer la biographie de l´auteur