Un aviso de la firma de antivirus Avast en primavera a la unidad de ciberseguridad de Francia finalmente ha dado sus frutos y ha terminado desmantelando un servidor detrás de la propagación del virus Retadup. Retadup es un malware monero de cripto-jacking que ha estado activo desde 2016. Desde 2016, el virus Retadup ha infectado 850,000 computadoras en todo el mundo.
Aunque el servidor está inactivo en este momento, es posible que pueda replicarse fácilmente y utilizarse para propagar el malware nuevamente. Con el malware Retadup, los ciberdelincuentes estaban infectando computadoras con Windows y lograron infectar computadoras en más de 100 estados diferentes. Según el comunicado de prensa, parece que los ciberdelincuentes buscaban usuarios en América Central y del Sur.
Cómo se propagó el virus
Según las investigaciones, los ciberdelincuentes utilizaron unidades USB infectadas, enviaron correos electrónicos con esquemas fáciles de ganar dinero y también enviaron imágenes eróticas a sus objetivos. Una vez que sus víctimas hicieron clic en cualquiera de los enlaces, sus computadoras se infectaron, lo que provocó que los cibercriminales obtuvieran el control de sus computadoras y procedieran a extraer monero. Además de minar monero, también ejecutaron esquemas de extorsión y también robaron datos. En lo último, los hospitales de Israel fueron los más afectados, tanto el hospital como los datos del paciente fueron robados.
A través de su servidor de comando, los cibercriminales pudieron crear una botnet de computadoras conectadas. Sin embargo, eso es lo que la unidad cibernética francesa usó para desmantelar su torre de control. Según la información de la unidad cibernética, pudieron rastrear la torre de control hasta algún lugar de París.
Después de eso, hicieron una réplica de la torre de control que dejó el virus inactivo en las computadoras infectadas. A través del mismo servidor ficticio, la unidad cibernética pudo enviar una solución que limpió las computadoras infectadas. Sin embargo, todo eso no podría ser posible sin la ayuda del FBI que bloqueó el tráfico entrante mientras lo redirigía a su servidor.
Aunque el virus está inactivo, la magnitud del daño fue muy grave. Según Jean-Dominique Nollet, jefe de C3N, la botnet podría haber sido utilizada para derribar todos los sitios web civiles en todo el mundo. Además, su investigación también muestra que las pérdidas llegan a millones de euros.