Por: Amy Hogan-Burney, gerente general de la Unidad de Crímenes Digitales.

Hoy anunciamos que la Unidad de Crímenes Digitales (DCU, por sus siglas en inglés) de Microsoft ha tomado medidas legales y técnicas para interrumpir una botnet criminal llamada ZLoader. ZLoader está compuesta por dispositivos informáticos en empresas, hospitales, escuelas y hogares de todo el mundo y está dirigida por una banda mundial del crimen organizado basada en Internet que opera malware como un servicio, diseñado para robar y extorsionar dinero.

Obtuvimos una orden judicial del Tribunal de Distrito de los Estados Unidos para el Distrito Norte de Georgia que nos permite tomar el control de 65 dominios que la pandilla ZLoader ha utilizado para crecer, controlar y comunicarse con su red de bots. Los dominios ahora están dirigidos a un sumidero de Microsoft donde ya no pueden ser utilizados por los operadores criminales de la botnet. Zloader contiene un algoritmo de generación de dominios (“DGA”, por sus siglas en inglés) integrado en el malware que crea dominios adicionales como un canal de comunicación alternativo o de respaldo para la botnet. Además de los dominios codificados, la orden judicial nos permite tomar 319 dominios DGA registrados en la actualidad. También trabajamos para bloquear el registro futuro de dominios DGA.

Durante nuestra investigación, identificamos a uno de los perpetradores detrás de la creación de un componente utilizado en la botnet ZLoader para distribuir ransomware como Denis Malikov, que vive en la ciudad de Simferopol en la península de Crimea. Elegimos nombrar a una persona en relación con este caso para dejar en claro que a los ciberdelincuentes no se les permitirá esconderse detrás del anonimato de Internet para cometer sus delitos. La acción legal de hoy es el resultado de meses de investigación anteriores al conflicto actual en esa región.

En un inicio, el objetivo principal de Zloader era el robo financiero, el robo de ID de inicio de sesión, contraseñas y otra información para sacar dinero de las cuentas de las personas. Zloader también incluía un componente que deshabilitaba software de seguridad y antivirus populares, para evitar que las víctimas detectaran la infección de ZLoader. Con el tiempo, los que estaban detrás de Zloader comenzaron a ofrecer malware como servicio, una plataforma de entrega para distribuir ransomware, incluido Ryuk. Ryuk es bien conocido por apuntar hacia las instituciones de atención médica para extorsionar el pago sin tener en cuenta a los pacientes que ponen en riesgo.

DCU dirigió el esfuerzo de investigación detrás de esta acción en asociación con ESET, Black Lotus Labs (el brazo de inteligencia de amenazas de Lumen) y la Unidad 42 de Palo Alto Networks, con datos e información adicionales para fortalecer nuestro caso legal de nuestros socios Financial Services Information Sharing. y Centros de Análisis (FS-ISAC, por sus siglas en inglés) y el Centro de Análisis e Intercambio de Información de Salud (H-ISAC, por sus siglas en inglés), además de nuestro Centro de Inteligencia de Amenazas de Microsoft y el equipo de Microsoft Defender. También reconocemos la contribución adicional de Avast en el apoyo a nuestro campo DCU en Europa.

Nuestra disrupción tiene como objetivo deshabilitar la infraestructura de ZLoader y hacer que sea más difícil para esta banda criminal organizada continuar con sus actividades . Esperamos que los demandados hagan esfuerzos para reactivar las operaciones de Zloader. Remitimos este caso a las fuerzas del orden público, seguimos de cerca esta actividad y continuaremos nuestro trabajo con nuestros socios para monitorear las actividades de estos ciberdelincuentes. Trabajaremos con los proveedores de servicios de Internet (ISPs por sus siglas en inglés) para identificar y remediar a las víctimas. Como siempre, estamos listos para tomar medidas legales y técnicas adicionales para abordar Zloader y otras redes de bots.

Tags: Ciberataques, Ciberseguridad, Ransomware