Le cas du botnet Retadup : Retex sur le salon du FIC à Lille

Le salon de la cyberscéurité s’est tenu au mois de janvier 2020. L’occasion pour tous les professionnels de l’investigation et la fraude numériques de faire un point sur les nouvelles technologies existantes et de partager leurs expériences au cours de ce forum international.

 

Le Botnet Retadup neutralisé, une victoire française ?

Pour ceux qui s’en souviennent encore, ce fait divers avait défrayé la chronique. Comment un malware a-t-il pu faire autant de dégâts dans autant de pays ?

 

Pour rappel, ce botnet a été découvert par Avast en 2019. 200.000 de ses clients avaient alors été infectés par ce virus. Mais c’est grâce à l’initiative de la gendarmerie française que le cas Retadup a pu se soldé par une réussite. En effet, le colonel en charge du C3N (Centre de lutte contre les criminalités numériques (C3N)), avait déjà annoncé en 2017 qu’il souhaitait que les éditeurs d’antivirus collaborent avec la gendarmerie en cas de détection d’un réseau de botnet dans le but de faciliter le démantèlement du réseau et d’accélérer la résolution des enquêtes.

Si la gendarmerie s’est chargée de l’enquête, c’est parce-que le serveur de Command & Control (C&C) qui pilotait le botnet se trouvait justement hébergé en France. Le gendarme a ainsi expliqué avoir constaté que « les ordinateurs infectés se connectaient toutes les 30 secondes au C&C pour recevoir de nouvelles instructions. S’il n’y avait pas de mise à jour, ils reprenaient alors leur tâche précédente ».

 

Quelle stratégie adopter ?

On estime à 850.000 machines le nombre de de PC infestés par le Retadup. C’est donc une opération sans précédents qui a été imaginée et montée par la gendarmerie française.

Les gendarmes ont remplacé le serveur malveillant avant qu’il ne se délocalise et en remplaçant le fichier d’origine par un fichier vide.

Sans nouvelles instructions, le malware est devenu inoffensif et cette mise à jour s’est répandue progressivement à presque toutes les machines du botnet.

 

Le vecteur de contamination reposait essentiellement par une transmission via clés USB. Et, selon le militaire, « le malware servait surtout à réaliser des opérations de cryptominage pour générer des Monero ». Sa taille est largement supérieure à celle du botnet qui génère 70 % du trafic de spams et le malware Retadup pourrait servir à réaliser bien d’autres exactions qui n’ont pour l’heure pas encore été diulguées.

 

 

Comment se protéger d’éventuelles menaces ?

 

On ne le répétera jamais assez… la meilleure des protections reste la prévention !

Rappelons les règles de l’ANSSI (Agence Nationale de la Sécurité des Systèmes d’Information) :

  1. Utiliser des mots de passe de qualité.

 

  1. Avoir un système d’exploitation et des logiciels à jour : navigateur, antivirus, bureautique, pare-feu personnel, etc. La plupart des attaques tentent d’utiliser les failles d’un ordinateur (failles du système d’exploitation ou des logiciels).

 

  1. Effectuer des sauvegardes régulières. Un des premiers principes de défense est de conserver une copie de ses données afin de pouvoir réagir à une attaque ou un dysfonctionnement. La sauvegarde de ses données est une condition de la continuité de votre activité.
  2. Désactiver par défaut les composants ActiveX et JavaScript. Les composants ActiveX ou JavaScript présentent des risques de sécurité pouvant aller jusqu’à la prise de contrôle par un intrus d’une machine vulnérable.
  3. Ne pas cliquer trop vite sur des liens. Une des attaques classiques visant à tromper l’internaute pour lui voler des informations personnelles, consiste à l’inciter à cliquer sur un lien placé dans un message. Ce lien peut-être trompeur et malveillant. Il vaut mieux saisir soi-même l’adresse du site dans la barre d’adresse du navigateur.

 

  1. Ne jamais utiliser un compte administrateur pour naviguer. Les droits d’un utilisateur sont limités justement pour éviter les risques d’infection ou de compromission de l’ordinateur.

 

  1. Contrôler la diffusion d’informations personnelles. Ne laissez jamais de données personnelles dans des forums, ne saisissez jamais de coordonnées personnelles et sensibles Dans le doute, ABSTENEZ-VOUS !

 

  1. Ne jamais relayer des canulars… de toute façon, vous avez passé l’âge !

 

  1. Méfiez-vous des mails étrangers. Si un de vos correspondants vous écrit dans une langue étrangère alors qu’il a l’habitude de vous parler français, c’est un indice… D’une façon générale, il ne faut pas se baser uniquement sur le nom de l’expéditeur qui apparaît dans le message et ne jamais répondre à un inconnu sans un minimum de précaution.

 

  1. Soyez vigilant avant d’ouvrir des pièces jointes à un courriel : elles colportent souvent des codes malveillants.

Pour se protéger, ne jamais ouvrir les pièces jointes dont les extensions sont les suivantes : .pif (comme une pièce jointe appelée photos.pif) ; .com ; .bat ; .exe ; .vbs ; .lnk. À l’inverse, quand vous envoyez des fichiers en pièces jointes à des courriels privilégiez l’envoi de pièces jointes au format le plus « inerte » possible, comme RTF ou PDF par exemple. Cela limite les risques de fuites d’informations.

 

 A lire également : Cybersécurité : 9 conseils à suivre pour préserver votre entreprise