Nom : Retadup. Nature : ver informatique. Espérance de vie : désormais nulle, selon la gendarmerie nationale.
Cette dernière estime en effet être venue à bout de la menace.
Elle en avait été avertie en mars 2019 par Avast.
L’éditeur antivirus tchèque avait donné l’alerte après avoir constaté que l’infrastructure destinée à contrôler Retadup était localisée essentiellement en France*.
Son intérêt pour le ver informatique découlait du fait qu’il servait à distribuer un logiciel malveillant découvert au préalable : un mineur de cryptomonnaie.
D’après les derniers relevés, Retadup a infecté au moins 850 000 machines sous Windows, principalement en Amérique du Sud. Il a aussi servi à diffuser un rançongiciel et un aspirateur de mots de passe (Trend Micro avait évoqué ce cas dès 2017 dans des hôpitaux israéliens).
L’enquête a mis au jour une dizaine de variantes de Retadup. Certaines sont écrites en AutoIt ; d’autres en AutoHotKey. Dans les deux cas, la charge malveillante se compose de deux fichiers : un script et un interpréteur. En AutoHotKey, le script est en code source ; en AutoIt, il est compilé.
Le ver dispose de mécanismes d’autodéfense. Avant de tenter de s’implanter, il vérifie par exemple la présence de certaines solutions de sécurité et de virtualisation. Pour s’établir de façon permanente, il planifie une tâche ou modifie le registre Windows.
Son exécution est rendue plus discrète par l’utilisation de fichiers .lnk, c’est-à-dire des raccourcis dirigeant vers l’exécutable.
Le serveur de commande, en Node.js avec MongoDB, était situé chez un hébergeur en région parisienne.
En juillet, la gendarmerie a obtenu le feu vert du procureur de la République pour mettre en oeuvre le plan suggéré par Avast. En l’occurrence, saisir le serveur concerné et le remplacer par une copie modifiée afin de couper les ponts avec les machines infectées. Et ainsi endiguer la propagation.
* Le FBI a également été mis dans la boucle, une partie de l’infrastructure se trouvant aux États-Unis.
Photo d’illustration © fotogestoeber via Shutterstock.com
Quelle part d’incertitude faut-il accepter dans la mise en conformité des IA avec le RGPD…
Microsoft a dévoilé les prix des mises à jour de sécurité étendues pour Windows 10.…
Docaposte a sélectionné une douzaine de spécialistes français pour créer un Pack cybersécurité spécialement étudié…
La Surface Pro 10 sera disponible le 9 avril en France. Passage en revue de…
Que réserve Office 2024 ? Une première version de test officielle sera disponible en avril.…
Microsoft Teams évolue dans une version « unifiée » qui permet de combiner les usages…