Retadup มัลแวร์ขุดเหมืองกว่า 850,000 ตัว ถูกตำรวจฝรั่งเศสกำจัดแบบสิ้นซากในคราวเดียว

^{รูปภาพการระบาดของมัลแวร์ Retadup จาก Avast}

Retadup มัลแวร์ขุดเหมือง Cryptocurrency ตัวร้ายที่แพร่กระจายอยู่ในคอมพิวเตอร์กว่า 850,000 เครื่องในกลุ่มประเทศลาตินอเมริกา (Latin America) และรัสเซีย (Russia) ถูกกำจัดรวดเดียวแบบสิ้นซาก โดยตำรวจไซเบอร์ฝรั่งเศสและทีมผู้เชี่ยวชาญจาก Avast 

Retadup : มัลแวร์สายพันธ์ุ Worm ถูกพบครั้งแรกเมื่อราวๆ เดือน เมษายน 2561 เป็นมัลแวร์ที่แพร่กระจายตัวจากคอมฯ สู่คอมฯ ซ่อนตัวได้แนบเนียน มีความสามารถในการแอบขุดเหมือง Cryptocurrency ผ่านเครื่องของเหยื่อแบบแนบเนียน และสามารถติดตั้งชุดคำสั่งอื่นๆ ลงไปได้ มีการทำงานร่วมกับเซิร์ฟเวอร์ควบคุม C&C ของแฮกเกอร์ที่อยู่เบื้องหลัง

เหตุการณ์ในครั้งนี้เกิดจากความพยายามของทีมผู้เชี่ยวชาญด้านความปลอดภัย Avast ในการติดตามพฤติกรรมของมัลแวร์ Retadup อย่างใกล้ชิด และได้พบว่ามันมีการรับ-ส่งข้อมูลจากเซิร์ฟเวอร์ควบคุม C&C (Command and control) สู่ตัวมัลแวร์นับแสนที่ฝังอยู่ในเครื่องของเหยื่อ และพบอีกว่าในเซิร์ฟเวอร์ควบคุมมีช่องโหว่ที่สามารถเจาะเข้าไปยึดได้ ทำให้พวกเขาเริ่มคิดค้นวิธีการจัดการมัลแวร์ Retadup ให้สิ้นซากแบบรวดเดียว โดยจะใช้วิธีการเข้าควบคุมเซิร์ฟเวอร์สั่งงาน C&C ของมัลแวร์ ผ่านช่องโหว่ที่ค้นพบ และรันโค้ดคำสั่งให้มัลแวร์ทั้งหมดทำลายตัวเอง (Self-destruct) 

แต่ปัญหาคือทีมงาน Avast ในประเทศอเมริกา ไม่สามารถเจาะเข้าไปในเซิร์ฟเวอร์ควบคุมมัลแวร์ Retadup ที่ตั้งอยู่ในประเทศฝรั่งเศสได้ทันที เพราะติดเรื่องข้อกฎหมายระหว่างประเทศ จึงมีการติดต่อไปยังหน่วยงานตำรวจฝรั่งเศส Cybercrime Fighting Center เพื่อขออนุญาตในการดำเนินการตามขั้นตอนที่วางแผนไว้

แต่ขั้นตอนมันก็ไม่ได้ง่ายอย่างที่คิดไว้ เพราะว่าทีมงาน Avast ยังมีข้อมูลเชิงลึกเกี่ยวกับเซิร์ฟเวอร์ของมัลแวร์ Retadup ไม่มากพอ จึงได้ขอความร่วมมือกับ Web Host ให้ช่วย Snapshot รวบรวมข้อมูลในเซิร์ฟเวอร์มาให้ ซึ่งก็ได้รับความร่วมมือเป็นอย่างดี แต่วิธีแบบนี้ค่อนข้างเสี่ยงมากๆ เพราะว่าต้องค่อยๆ Snapshot ทีละนิดๆ เพื่อไม่ให้แฮกเกอร์ที่อยู่เบื้องหลังรู้ตัว และถ้าหากทุกอย่างผิดพลาดแฮกเกอร์ไหวตัวทัน อาจเปลี่ยนเป้าหมายจากการแอบขุดเหมืองไปเป็นการส่งแรนซัมแวร์ (Ransomeware) เพื่อเรียกค่าไถ่แทน ซึ่งมันจะสร้างความเสียหายมากกว่าการแอบขุดเหมืองหลายเท่าตัว

และทุกอย่างก็เป็นไปตามแผน เมื่อช่วงเดือนต้นเดือน กรกฎาคม 2019 ที่ผ่านมา Avast และตำรวจฝรั่งเศสประสบความสำเร็จในการ เข้ายึดเซิร์ฟเวอร์ควบคุมมัลแวร์ Retadup จากแฮกเกอร์แบบเต็มตัว ส่งผลให้แฮกเกอร์ไม่สามารถเข้ามายุ่งเกี่ยวได้อีก และยังส่งโค้ดคำสั่งให้มัลแวร์ทำลายตัวเองไปยังคอมพิวเตอร์ของเหยื่อทุกๆ เครื่อง ผลคือคอมฯ กว่า 850,000 เครื่อง ไม่มีมัลแวร์ Retadup อีกต่อไป 

การกำจัดมัลแวร์ในเคสนี้ ถือว่าประสบความสำเร็จเป็นอย่างมาก และก็พบได้น้อยมากเช่นกัน เพราะการเข้าไปจัดการถึงระดับเซิร์ฟเวอร์ควบคุมนั้น เป็นอะไรที่ค่อนข้างยากมาก และต้องทำอย่างระมัดระวัง รวมถึงต้องติดต่อหน่วยงานรัฐอีกด้วย ทำให้ค่อนข้างล่าช้า แถมเหล่าแฮกเกอร์ผู้อยู่เบื้องหลังก็ระวังตัวอยู่ตลอดเวลาก็ทำให้ยิ่งยากขึ้นไปอีก