2min

De Franse politie heeft een groot botnet voor het minen van cryptovaluta overgenomen en geneutraliseerd. Het botnet beheerde bijna een miljoen geïnfecteerde computers.

Het ging om de Retadup-malware, schrijft Techcrunch. Deze malware infecteert computers en gebruikt vervolgens kracht van de processor om cryptovaluta te minen. De malware is bovendien ook in te zetten om andere malafide code uit te voeren, zoals spyware of ransomware. Daarnaast heeft het wormable mogelijkheden, waardoor het van computer naar computer kan verspreiden.

De malware is wereldwijd actief, maar is nu dus offline gehaald. Dat gebeurde met hulp van beveiligingsbedrijf Avast. Avast ontdekte een ontwerpfout in de command and control-server van de malware. Daarmee werd het mogelijk om het te verwijderen van de computers van slachtoffers, zonder dat er code naar deze computers gestuurd moest worden.

Samenwerking met politie

De onderzoekers van het bedrijf hadden echter geen autoriteit om de operatie van start te laten gaan. Omdat de meeste infrastructuur van de malware in Frankrijk zat, besloot Avast contact op te nemen met de politie daar.

In juli volgde goedkeuring van aanklagers, waarna de politie begon met het overnemen van de server en het desinfecteren van getroffen computers. Volgens de politie zelf is het botnet “één van de grootste netwerken” van overgenomen computers ter wereld.

Bij de operatie werd heimelijk een snapshot gemaakt van de command and control-server van de malware, met medewerking van de web host. De onderzoekers maakten vervolgens een eigen replica, die getroffen computers opschoonde in plaats van infecties veroorzaken.

850.000 geïnfecteerde computers

De politie en Avast wisten op deze manier ruim 850.000 geïnfecteerde computers op te schonen.

Volgens de onderzoekers was het daarbij onder meer een uitdaging dat de cybercriminelen niet merkten dat er een image werd gemaakt van hun server. Hadden ze dat wel gemerkt, dan hadden ze terug kunnen slaan.

“Als ze zich gerealiseerd hadden dat we op het punt stonden om Retadup offline te halen, hadden ze mogelijk ransomware naar honderdduizenden computers gestuurd, terwijl ze probeerde hun malware uit te melken voor een laatste beetje winst.”