Blog

Microsoft y otras compañías de ciberseguridad afirman haber interrumpido la red de la Botnet de ZLoader

Microsoft junto a otras compañías de ciberseguridad han tomado medidas tanto legales, cómo técnicas para interrumpir la disponibilidad de la botnet ZLoader, tomando el control de 65 dominios que han sido utilizados como vías de comunicación con los C2 (Command and Control). La operación, dijo Microsoft, se llevó a cabo en colaboración con ESET, Black Lotus Labs de Lumen, Palo Alto Networks Unit 42, Avast, Financial Services Information Sharing and Analysis Center (FS-ISAC) y la Health Information Sharing and Analysis Center (H-ISAC).

Como resultado de esta interrupción, los dominios ahora se redirigen a un entorno controlado, evitando efectivamente que los operadores de la botnet se comuniquen con los dispositivos comprometidos. Otros 319 dominios de copia de seguridad que se generaron a través de un algoritmo de generación de dominios integrado (Conocidos generalmente cómo DGA) también han sido confiscados como parte de la misma operación.

Según Amy Hogan-Burney, Gerente General de la Unidad de Delitos Digitales de Microsoft dijo: «ZLoader se compone de diferentes dispositivos informáticos en empresas, hospitales, escuelas y hogares de todo el mundo y está dirigido por una banda global del crimen organizado basada en Internet que opera mediante el malware como servicio (MaaS) que está diseñado para robar y extorsionar a las víctimas a cambio de dinero«.

Mapa de calor de equipos comprometidos con ZLoader.
Imagen: Microsoft.

ZLoader, al igual que su homólogo TrickBot, comenzó como un derivado del troyano bancario Zeus en noviembre de 2019, antes de someterse a modificaciones y actualizaciones activas que han permitido a otros actores de amenazas adquirir el malware en foros especializados y reutilizarlo para satisfacer sus objetivos de propagación.

En un inicio, el objetivo principal de Zloader era el robo financiero, el robo de ID de inicio de sesión, contraseñas y otra información para sacar dinero de las cuentas de las personas. Zloader también incluía un componente que deshabilitaba software de seguridad y de los antivirus más populares, para evitar que las víctimas detectaran la infección. Con el tiempo, los que estaban detrás de Zloader comenzaron a ofrecer el servicio de Malware-as-a-Services (MaaS), con una plataforma de entrega para distribuir ransomware, incluido Ryuk Ransomware.

Diagrama de flujo del modus operandi de ZLoader.
Imagen: Microsoft

Para agregar la guinda sobre el pastel, Microsoft también denuncio y público a Denis Malikov, que vive en la ciudad de Simferopol en la península de Crimea, como uno de los actores detrás del desarrollo de un módulo utilizado por la botnet para distribuir cepas de ransomware, afirmando que eligió nombrar al perpetrador para «dejar en claro que a los ciberdelincuentes no se les permitirá esconderse detrás del anonimato de Internet para cometer sus crímenes«.

Este operativo en conjunto con empresas en el sector de la ciberseguridad, nos recuerda lo ocurrido en octubre del año 2020, donde Microsoft, junto a otras empresas lograron interrumpir la botnet de TrickBot. Aunque la botnet logró recuperarse en 2021, TrickBot dio el paso atrás en favor de otras variantes de malwares más sigilosa cómo BazarBackdoor.

Más Información:

La botnet de una notoria banda de cibercrimen ha sido interrumpida – News Center Latinoamérica (microsoft.com)

ESET takes part in global operation to disrupt Zloader botnets | WeLiveSecurity

Zeus (malware) – Wikipedia

Dismantling ZLoader: How malicious ads led to disabled security tools and ransomware – Microsoft Security Blog

What is Domain Generation Algorithm: 8 Real World DGA Variants (cybereason.com)

Artículos Relacionados

Protege tus aplicaciones Web y API

Accede a una evaluación completamente funciona

La primera solución completa que cubre los errores de seguridad y fallas de la lógica empresarial en todo el SDLC
Ir al Demo
Alterta Temprana de Riesgos
Reduce tu ventana de exposición al riesgo a las amenazas externas, mejorando la eficiencia en la detección y respuesta ante ciberamenazas.
Más Info
Hdiv - Protege tus aplicaciones Web y API
La primera solución completa que cubre los errores de seguridad y fallas de la lógica empresarial en todo el SDLC
Accede al Demo Gratuito
Protección de Dominios - Sendmarc
Evita y protege activamente los dominios de tu organización contra los ataques de suplantación de identidad y phishing
Más Info
Endpoint - Panda Security
Endpoint Protection Platform, EDR y Servicios de 100% Atestación y Threat Hunting integrado
Más Info

Últimos Artículos

Hablemos

Si tienes alguna duda o pregunta con nuestros servicios, puedes comunicarte directamente con nosotros o completar el formulario, y nos pondremos en contacto contigo en breve.

Email

contacto@cronup.com

Ubicación

Providencia, Santiago de Chile

Twitter

@Cronup_CyberSec

Linkedin

Cronup Ciberseguridad

CronUp Newsletter

Suscríbete a nuestro resumen semanal de noticias y alertas de seguridad para mantenerte actualizado sobre el panorama de amenazas en la región y el mundo.

* indicates required