Casa > Cyber ​​Notizie > Il worm Retadup, responsabile delle infezioni da STOP Ransomware, viene arrestato
CYBER NEWS

Worm Retadup Responsabile per l'arresto ransomware infezioni viene arrestato

verme Retadup

Il worm Retadup viene chiuso da specialisti informatici, questo è il malware che è responsabile per la gran parte delle versioni di STOP ransomware. Il worm si sviluppa principalmente in America Latina e ha una vasta sequenza di malware che viene eseguito quando i padroni di casa di destinazione sono compromessi. Gli esperti di sicurezza stanno cercando di spegnerlo al meglio delle loro capacità limitando così la diffusione del ransomware di STOP, che è il suo carico utile principale.




ARRESTO ransomware viene arrestato spegnendo il Worm Retadup

Il worm Retadup è una minaccia molto pericolosa che è descritto in diversi rapporti come uno dei principali vettori di campioni ARRESTO ransomware. Sono minacce ransomware pervasivi che sono una delle minacce virali più fastidiosi, come molti degli attuali campagne di attacco in corso trasportarlo. Un team di esperti di sicurezza sono stati in grado di escogitare un modo di fermare il rilascio della minaccia che si è rapidamente diminuito il numero di computer infetti con il virus di STOP.

Correlata: [wplinkpreview url =”https://sensorstechforum.com/remove-stop-ransomware/”]Rimuovere ARRESTO DJVU ransomware + File Decrypt (Aggiornamento agosto 2019)

Il worm Retadup è una minaccia molto pericolosa che è descritto in diversi rapporti come uno dei principali vettori di campioni ARRESTO ransomware. Sono minacce ransomware pervasivi che sono una delle minacce virali più fastidiosi, come molti degli attuali campagne di attacco in corso trasportarlo. Un team di esperti di sicurezza sono stati in grado di escogitare un modo di fermare il rilascio della minaccia che si è rapidamente diminuito il numero di computer infetti con il virus di STOP.

Correlata: [wplinkpreview url =”https://sensorstechforum.com/ws-discovery-protocol-ddos/”]WS-Discovery Protocol Espone 630,000 Dispositivi per attacchi DDoS

Un'indagine approfondita la minaccia è stata fatta da un team di sicurezza esaminando il luogo in cui il comando e il controllo principale (C&C) server - una volta identificati gli esperti possono tentare di contrastare le infezioni. L'infrastruttura è stata trovata per essere ospitato in Francia, che ha spinto gli analisti di contattare la Gendarmeria Nazionale francese - hanno fornito un un ordine che dà gli esperti il ​​via libera per tentare e neutralizzare i server al meglio delle loro capacità. Di conseguenza l'attività del virus ha fortemente diminuito in modo da fermare il rilascio di molti campioni di STOP ransomware. Tuttavia questo non ha fermato gli altri gruppi di hacking in rilasciando nuove varianti del virus.

Retadup Worm Activity: Come Ha consegna alla fermata ransomware virus

Ciò che è particolarmente interessante di questo malware è stato in sviluppo per diversi anni prima di un gruppo criminale ha utilizzato per lo scopo di diffondere i campioni di STOP ransomware. Nel corso degli anni sono stati aggiunti vari moduli e componenti e il motore principale è stata migliorata. Al momento della scrittura di questo articolo la versione principale è costituito da due file: l'interprete del linguaggio di script e lo script stesso. Una sequenza built-in sarà lanciato che eseguirà vari componenti, un elenco esempio di loro è il seguente:

  • Worm Controllo installazione - Una delle prime azioni che sono state svolte dal motore di infezione è quello di verificare se c'è un'infezione in esecuzione attiva. Questo viene fatto al fine di verificare se l'host è un ambiente di debug o di macchina virtuale guest. Si fermerà se questa verifica positiva.
  • Installazione Persistent - Il worm Retadup sarà installato in modo tale da avviare automaticamente non appena il sistema si avvia. Si può disabilitare l'accesso alle opzioni di boot di recupero che rende molto difficile per gli utenti di recuperare i propri sistemi. Si può anche diffondersi ad altri host, come dispositivi di archiviazione rimovibili e condivisioni di rete disponibili.
  • Operazioni di Troia - Il worm stabilire una connessione sicura e persistente al server degli hacker controllato, se raggiungibile. Questo permetterà ai criminali di prendere il controllo dei padroni di casa e dirottare tutti i dati che si trova su di loro.
  • Windows modifica del Registro di sistema - Il motore principale è stato confermato a commettere diversi tipi di modifiche sulle host infettati. Le conseguenze includeranno problemi durante l'esecuzione di determinate applicazioni e servizi, problemi di prestazioni e perdita di dati.
Correlata: [wplinkpreview url =”https://sensorstechforum.com/baldr-malware-csgo-apex-legends/”]Baldr Malware Set contro CS:GO e Apex Legends Cheaters

I comandi che sono più spesso utilizzati durante il comandante dei campioni di virus sono Aggiornamento utilizzato per controllare se una nuova versione della minaccia è disponibile; Scarica che distribuire altri tipi di malware sui padroni di casa; Dormire che sospendere temporaneamente l'esecuzione del malware< and Updateself che riorganizzare la sua forma attuale. La maggior parte dei virus anche utilizzare il sofisticato UAC bypass sicurezza che si distingue per essere una parte della maggior parte dei Troiani avanzate disponibili per il sistema Microsoft Windows. Il Worm Retadup viene caricato in memoria in forma offuscato e criptato che significa che sarà decifrato in tempo reale e, quando necessario. Ciò significa che nella maggior parte dei casi la scoperta del motore di esecuzione sarà reso molto difficile.

L'analisi dei server di comando e controllo mostra che essi sono alimentati da un'implementazione Node.js ed i dati vengono memorizzati in un database MongoDB. L'analisi di dettaglio evidenzia che in tutte le versioni ci sono diversi tipi di struttura organizzativa. L'analisi fatta mostra che le informazioni raccolte nei database viene utilizzato dai regolatori per realizzare un'interfaccia utente che permette loro di controllare i padroni di casa infetti. Alcuni dei campioni raccolti sono stati spettacoli per consentire le operazioni avanzate, esempi di tale sono i seguenti:

  • Reclutamento botnet parte I padroni di casa possono essere fatti di una rete internazionale di computer infetti -. Quando questo è fatto infatti gli host compromessi possono essere utilizzati in un gruppo per lanciare attacchi devastanti contro le reti distribuite preimpostati rendendoli non funzionante.
  • Criptovaluta Miner Caricamento - Una delle infezioni più comuni che sono il risultato di infezioni da virus è il dispiegamento di minatori criptovaluta. Ci sono degli script di piccole dimensioni o applicazioni che scaricherà una sequenza di operazioni matematiche prestazioni pesanti e in particolare la CPU, memoria, spazio su disco e connessione di rete. Quando l'infezione è segnalata come completo ai server gli hacker saranno cablati premio criptovaluta direttamente ai loro portafogli.

La situazione attuale con il worm Retadup

Un gran numero dei domini e dei server connessi con la vite senza fine sono state chiuse dagli esperti. Tuttavia questo non è bastato a fermare la diffusione di ceppi di STOP ransomware. Sembra che, mentre questo worm è una delle fonti più efficienti di infezione, non è l'unico e solo. E 'vero che dopo la chiusura di molti dei server alcuni dei ceppi sono diminuite di volume però bloccare i virus continuano ad essere sviluppato. Questo ci dà motivo di credere che una di queste dichiarazioni possono eventualmente essere vero:

  • Il collettivo ladro dietro questi server web sono uno dei principali sviluppatori delle stringhe di STOP ransomware. Ciò significa che è possibile che quando vengono arrestati tutti i server del numero di infezioni in corso aumenterà notevolmente.
  • La seconda alternativa comprensione della situazione è che i server sono affittati o concessi in prestito da diversi gruppi di hacker, al fine di diffondere le proprie versioni del ransomware ARRESTO.
  • Un'altra proposta è che questi server sono hacked specificamente al fine di fornire il worm ei virus ARRESTO associati.

In ogni caso la buona notizia è che tali operazioni vengono fermati dagli esperti di sicurezza . Tuttavia at-large ransomware ARRESTO campioni continuano ad essere prodotti e non ci aspettiamo di vedere un rallentamento nella loro ulteriore creazione e distribuzione. Le ragioni di questa conclusione è il fatto che numerosi ceppi di esso vengono effettuati ogni settimana, che dimostra che essi sono uno strumento molto redditizio che viene utilizzato da molti collettivi degli hacker di tutto il mondo.

Martin Beltov

Martin si è laureato con una laurea in Pubblicazione da Università di Sofia. Come un appassionato di sicurezza informatica si diletta a scrivere sulle ultime minacce e meccanismi di intrusione.

Altri messaggi

Seguimi:
Cinguettio

Lascio un commento

Il tuo indirizzo email non verrà pubblicato. I campi obbligatori sono contrassegnati *

Questo sito utilizza i cookie per migliorare l'esperienza dell'utente. Utilizzando il nostro sito web acconsenti a tutti i cookie in conformità con la ns politica sulla riservatezza.
Sono d'accordo