Retadup: Cryptomining-Botnetz stillgelegt
Nach einem Hinweis der Sicherheitsfirma Avast im Frühjar 2019 konnte die Cybercrime-Abteilung „C3N“ (Centre de lutte contre les criminalités numériques) der französischen Nationalpolizei ein mittlerweile über 850.000 Computer umfassendes Cryptomining-Botnetz stilllegen.
Die durch Retadup infizierten Systeme schürften schon seit mindestens 2016 verdeckt die Kryptowährung Monero.
Retadup Botznet löschte sich selbst
Die Cyberspezialisten der französischen Gendarmerie nationale vernichteten das Netzwerk von Computern, die mit dem Monero-Crypto-Miner infiziert waren, nachdem sie von der Cybersicherheitssoftwarefirma Avast über den Standort des Botnets informiert wurden. Die Backend-Infrastruktur von Retadup befand sich in der Region Paris.
Nach dem Zugriff auf die Backend-Infrastruktur von Retadup gelang es den Beamten mit der Hilfe des ebenfalls involvierten FBI einen eigenen Kommando-Server aufzusetzen und den Traffic des Botnetzes darauf umzuleiten. Über diesen eingeschleusten Server forderten Avast und C3N den Wurm dann auf, sich selbst auf allen infizierten Computern, die online waren, zu löschen.
Während die Malware weltweit verbreitet war, befanden sich die meisten der infizierten Computer in Mittel- und Lateinamerika. Das am stärksten betroffene Land war Peru, gefolgt von Venezuela – so Avast.
Neben Frankreich verfügte Retadup auch in den USA über eine gewisse Backend-Infrastruktur. Abgesehen davon, dass die Monero-Kryptowährung heimlich auf den infizierten Computern abgebaut wird, hat Retadup in geringerem Maße auch Passwörter gestohlen und Ransomware installiert.
„Die Cyberkriminellen hinter Retadup hatten die Möglichkeit, zusätzliche willkürliche Malware auf Hunderttausenden von Computern weltweit auszuführen„, sagte Jan Vojtěšek, ein Malware-Analyst bei Avast, der die Forschung leitete. „Unsere Hauptziele waren es, sie daran zu hindern, destruktive Malware in großem Maßstab auszuführen, und die Cyberkriminellen daran zu hindern, infizierte Computer weiter zu missbrauchen.“
Wie viel XMR hat die Crypto-Mining-Malware „verdient“?
Laut dem C3N-Kommandanten, Oberst Jean-Dominique Nollet, gelang es dem Retadup-Wurm, Monero im Wert von „mehreren Millionen Euro pro Jahr“ zu schürfen, wie Europa1 berichtete. Einige der beschlagnahmten Backend-Server von Retadup hatten ebenfalls nach Monero geschürft. Während sie nur etwa 53,72 Monero-Münzen im Wert von etwa 4.230 US-Dollar zu aktuellen Preisen abgebaut haben, ist dies jedoch nur ein winziger Bruchteil dessen, was das gesamte Netzwerk generiert hat.
(Monero (XMR) ist eine dezentrale, Blockchain-basierte Kryptowährung, vergleichbar mit Bitcoin. Im Gegensatz zu Bitcoin setzt Monero jedoch einen stärkeren Fokus auf Privatsphäre (Anonymität) und Dezentralisierung und verfolgt einen anderen Ansatz in Bezug auf die Skalierbarkeit. Das Wort „monero“ ist der Sprache Esperanto entnommen und bedeutet „Münze“.
Monero basiert auf dem CryptoNote-Protokoll, was im Kontrast steht zu vielen anderen Kryptowährungen, die wie etwa Litecoin auf einem von Bitcoin abgespaltenen Code aufsetzen. In der Praxis hebt sich Monero von den meisten anderen Kryptowährungen ab durch die starke Anonymität, den für handelsübliche Prozessoren optimierten Proof-of-Work-Algorithmus namens CryptoNight (Dezentralisierung), die kontinuierliche Anpassung der Mining Difficulty sowie den Algorithmus zur Anpassung der Blockgröße (Skalierbarkeit). Moneros Code fand Anerkennung unter anderem von Wladimir J. van der Laan, einer der gegenwärtigen Maintainer von Bitcoin-Core. – Quelle: Wikipedia)
Laut Avast hatte der Monero Kryptojacker aufgrund der höheren Rechenleistung eine Vorliebe für Computer mit mehreren Kernen. Praktisch alle infizierten Computer waren mit dem Windows-Betriebssystem ausgestattet. Über 50 Prozent der mit dem Monero Kryptojacker infizierten Computer liefen unter Windows 7.
Die Drahtzieher hinter Retadup sollen mit ihrer Masche seit 2016 mehrere Millionen Euro verdient haben – und befinden sich nach wie vor auf der Flucht, wie die BBC berichtet.