Microsoft junto a otras compañías de ciberseguridad han tomado medidas tanto legales, cómo técnicas para interrumpir la disponibilidad de la botnet ZLoader, tomando el control de 65 dominios que han sido utilizados como vías de comunicación con los C2 (Command and Control). La operación, dijo Microsoft, se llevó a cabo en colaboración con ESET, Black Lotus Labs de Lumen, Palo Alto Networks Unit 42, Avast, Financial Services Information Sharing and Analysis Center (FS-ISAC) y la Health Information Sharing and Analysis Center (H-ISAC).
Como resultado de esta interrupción, los dominios ahora se redirigen a un entorno controlado, evitando efectivamente que los operadores de la botnet se comuniquen con los dispositivos comprometidos. Otros 319 dominios de copia de seguridad que se generaron a través de un algoritmo de generación de dominios integrado (Conocidos generalmente cómo DGA) también han sido confiscados como parte de la misma operación.
Según Amy Hogan-Burney, Gerente General de la Unidad de Delitos Digitales de Microsoft dijo: «ZLoader se compone de diferentes dispositivos informáticos en empresas, hospitales, escuelas y hogares de todo el mundo y está dirigido por una banda global del crimen organizado basada en Internet que opera mediante el malware como servicio (MaaS) que está diseñado para robar y extorsionar a las víctimas a cambio de dinero«.
Imagen: Microsoft.
ZLoader, al igual que su homólogo TrickBot, comenzó como un derivado del troyano bancario Zeus en noviembre de 2019, antes de someterse a modificaciones y actualizaciones activas que han permitido a otros actores de amenazas adquirir el malware en foros especializados y reutilizarlo para satisfacer sus objetivos de propagación.
En un inicio, el objetivo principal de Zloader era el robo financiero, el robo de ID de inicio de sesión, contraseñas y otra información para sacar dinero de las cuentas de las personas. Zloader también incluía un componente que deshabilitaba software de seguridad y de los antivirus más populares, para evitar que las víctimas detectaran la infección. Con el tiempo, los que estaban detrás de Zloader comenzaron a ofrecer el servicio de Malware-as-a-Services (MaaS), con una plataforma de entrega para distribuir ransomware, incluido Ryuk Ransomware.
Imagen: Microsoft
Para agregar la guinda sobre el pastel, Microsoft también denuncio y público a Denis Malikov, que vive en la ciudad de Simferopol en la península de Crimea, como uno de los actores detrás del desarrollo de un módulo utilizado por la botnet para distribuir cepas de ransomware, afirmando que eligió nombrar al perpetrador para «dejar en claro que a los ciberdelincuentes no se les permitirá esconderse detrás del anonimato de Internet para cometer sus crímenes«.
Este operativo en conjunto con empresas en el sector de la ciberseguridad, nos recuerda lo ocurrido en octubre del año 2020, donde Microsoft, junto a otras empresas lograron interrumpir la botnet de TrickBot. Aunque la botnet logró recuperarse en 2021, TrickBot dio el paso atrás en favor de otras variantes de malwares más sigilosa cómo BazarBackdoor.
Más Información:
ESET takes part in global operation to disrupt Zloader botnets | WeLiveSecurity
What is Domain Generation Algorithm: 8 Real World DGA Variants (cybereason.com)
Alerta Temprana de Riesgos Cibernéticos (ATRc®)
Attack Surface Management
Cyber Threat Intelligence
