تمكنت شركة "واسع" من التخلص من دودة Retadup للتشفير التي تقوم بتطهير أكثر من 850 ألف جهاز كمبيوتر ، وذلك بمساعدة شركة Gendarmerie الفرنسية الوطنية ، التي تم الإعلان عنها في إحدى مدونات المدونات.
اكتشف باحثو الأمن في Avast عيبًا في التصميم في بروتوكول اتصالات Retadup والذي سمح للفريق بإزالة البرامج الضارة من أجهزة الكمبيوتر المصابة. لقد استبدلوا C&C (مركز القيادة والتحكم) دودة تشفير التعدين بخادم التطهير الذي تسبب في تدمير أجزاء البرامج الضارة المتصلة بنفسها.
نظرًا لوجود بنية C&C في Retadup في فرنسا ، اتصل فريق Avast بالسلطات الفرنسية لإيقاف برامج الروبوت الضارة. اتصل الباحثون الأمنيون أيضًا بمكتب التحقيقات الفيدرالي لأن بعض أجزاء البنية التحتية لـ C&C كانت موجودة في الولايات المتحدة.
لاحظ الفريق أن الغالبية العظمى من أجهزة الكمبيوتر المصابة كانت موجودة في أمريكا اللاتينية. تم العثور على 35٪ من مضيفي Retadup في بيرو ، بينما كانت 85٪ المتبقية من الأنظمة المصابة موجودة في فنزويلا وبوليفيا والإكوادور والمكسيك وكولومبيا والأرجنتين وكوبا.
ويشير الباحثون أيضًا إلى أن الروبوتات استهدفت بشكل أساسي أجهزة الكمبيوتر التي تحتوي على اثنين أو أربعة من النوى وكانت تعمل Windows 7. أيضًا ، 85٪ من الضحايا لم يقوموا بتثبيت أي حل مكافحة فيروسات تابع لجهة أخرى على أجهزة الكمبيوتر الخاصة بهم.
Retadup يذهب دون أن يلاحظها أحد؟
يراقب خبراء أمان Avast عن كثب أنشطة Retadup منذ مارس 2019. ومع ذلك ، ظهرت الدودة في البداية في عام 2017 عندما نشرت TrendMicro مجموعة من المقالات حول البرامج الضارة. "لم تحصل الدودة على الاهتمام الذي تستحقه من مجتمع الأمن"
محلل برامج ضارة في Avast الذي قاد البحث.
في المرحلة الأولية ، كان Retadup طروادة بسيطة تجمع معلومات حول أجهزة الكمبيوتر المصابة وأرسلت البيانات على الخوادم البعيدة. ومع ذلك ، بعد الانتقال دون أن يلاحظها أحد ، تطورت Retadup إلى روبوت متكامل لاستخراج التشفير في السنوات المقبلة.
يكتب أن المحتالين جمعوا ما لا يقل عن 53.72 XMR (~ 4500 دولار أمريكي) من أجهزة الكمبيوتر المصابة.من يقف وراء Retadup؟
عن طفلي <3 https://t.co/E2dy6Dmpna
– جوكر أسود (radblackjoker) 27 أبريل 2018
وفقًا لفريق Avast ، ينتمي Ratadup إلى رجل تباهى بإنشاء Retadup و "حكم العالم" على Twitter، بعد الإبلاغ الأولي عن الدودة مرة أخرى في عام 2018.
في ملفه الشخصي ، يتباهى المتسلل بعملياته: pic.twitter.com/xsry9vz0Ww
– تحت الانتهاك (underthebreach) 28 أغسطس 2019
على الرغم من عدم وجود أي اعتقالات من قبل الشرطة ، إلا أن باحثين أمنيين من Under the Breach زعموا أن منشئ البرامج الضارة لـ Retadup هو فلسطيني يبلغ من العمر 26 عامًا ، وفقًا لتقرير ZDNet.