De Franse politie heeft met behulp van antivirusbedrijf Avast een botnet van 850.000 computers uitgeschakeld en opgeschoond. De computers waren met de Retadup-malware besmet, die op geïnfecteerde machines een cryptominer, ransomware of wachtwoordsteler installeerde.
Het protocol dat Retadup gebruikte om met besmette computers te communiceren bevatte een ontwerpfout. Daardoor was het mogelijk om de malware van de geïnfecteerde machines te verwijderen als de command & control-server was overgenomen. Het verwijderen van de malware was mogelijk zonder dat gebruikers hiervoor iets hoefden te doen.
Het grootste deel van Retadup-infrastructuur bevond zich in Frankrijk. Daarop besloot Avast de Franse politie te informeren en werd er een desinfectiescenario voorgesteld en getest. De botnetserver zou worden overgenomen en via de ontwerpfout kon Retadup van besmette systemen worden verwijderd. Afgelopen juli kreeg de Franse politie van de openbaar aanklager groen licht om de operatie uit te voeren.
De botnetserver werd vervangen door een desinfectieserver die besmette computers de opdracht gaf om de malware te verwijderen. Een deel van de botnetinfrastructuur bevond zich in de Verenigde Staten, waarop de Franse politie de FBI waarschuwde. De Amerikaanse opsporingsdienst haalde de betreffende servers op 8 juli uit de lucht, waardoor de malwaremakers geen controle meer over de geïnfecteerde machines hadden.
Sinds de operatie is de Retadup-malware van 850.000 computers verwijderd, waarvan het grootste deel in Latijns-Amerika werd aangetroffen. De meeste slachtoffers bleken Windows 7 te draaien en sommige slachtoffers hadden opzettelijk hun antivirussoftware uitgeschakeld.
Deze posting is gelocked. Reageren is niet meer mogelijk.