850.000 Bilgisayara Bulaşan Retadup, Etkisiz Hale Getirildi

Retadup isimli ziyanlı yazılım, bilgisayarlara bulaşıyor ve bir bilgisayarın işlemcisini kripto para madenciliği için kullanmaya başlıyor. Berbat hedefli yazılım, temelde para kazanmak için kullanılmış olmasına rağmen bu ziyanlı yazılımlar, basitçe casus yazılım yahut fidye yazılımı üzere diğer berbat emelli kodları da çalıştırabiliyor.

Berbat maksatlı yazılım, birebir vakitte bilgisayardan bilgisayara yayılmasına müsaade veren kayda kıymet riskli özelliklere de sahip. Retadup, birinci ortaya çıkmasından bu yana ABD, Rusya, Orta ve Güney Amerika dâhil olmak üzere tüm dünyaya yayıldı.

Avast, Retadup’u etkisiz hâle getirdi:

Yılların güvenlik firması Avast ise bu casus yazılımını etkisiz hâle getirdiklerini bir blog yazısıyla duyurdu. Avast, berbat gayeli yazılımın komut ve denetim sunucusundaki bir yazılım kusurunu keşfettikten sonra bu yazılıma müdahale etmek için dâhil oldu.

Güvenlik firması, bu makûs hedefli yazılımın kurbanların bilgisayarlarına girerek bu ziyanlı yazılımı ortadan kaldıracaktı ancak Avast, bu süreci yapmak için kâfi yasal otoriteye sahip değildi. Makus emelli yazılımın altyapısının birçok Fransa'da bulunduğundan Avast, Fransız polisi ile temasa geçti.

Temmuz ayından beri çalışmalarına devam eden Fransız polisi, sunucuyu denetim altına alma ve etkilenen bilgisayarları temizleme için operasyonlara başladı. Fransız polisine nazaran Retadup, dünyanın en büyük botnet ağı olarak değerlendirildi.

Araştırmacılar; kötü gayeli yazılım operatörleri tarafından fark edilmemesi için dikkatle çalışmak zorunda olduklarını, makûs emelli yazılım operatörlerinin misillemede bulunabileceğinden korktuklarını söylediler. Güvenlik şirketi, “Kötü hedefli yazılım geliştiricileri, çoğunlukla uygun bir pasif gelir elde ederek kripto para madenciliği yapıyorlardı fakat Retadup'u büsbütün ortadan kaldırmak üzere olduğumuzu anlarlarsa kötü hedefli yazılımlarını son vurgunlarını yapmak için yüz binlerce bilgisayara fidye yazılımı gönderebilirlerdi” açıklamasını yaptı.  

Botnet, sunucularda bulunan bir açık sayesinde imha edildi:

Polis, berbat niyetli komut ve denetim sunucusunu Retadup'un kendi kendini imha etme durumlarını birbirine bağlayan hazırlanmış bir dezenfeksiyon sunucusuyla değiştirdi. Aktifliğinin birinci saniyesinde, sunucudan komut almak için birkaç bin robot bağlandı. Dezenfeksiyon sunucusu onlara karşılık verdi ve onları dezenfekte ederek protokol tasarım kusurunu berbata kullandı. Bunu yaparak şirket, berbat hedefli yazılımın çalışmasını durdurabildi ve makus maksatlı kodu 850.000'den fazla virüslü bilgisayarda kaldırdı.

Fransız polisinin siber ünite lideri Jean-Dominique Nollet, makus gayeli yazılım operatörlerinin birkaç milyon euro bedelinde kripto para ünitesi ürettiğini söyledi. Bir berbat maksatlı yazılım botnetin uzaktan kapatılması, bu alanda ender görülebilecek bir muvaffakiyet olarak yorumlanıyor.