El objetivo principal de la botnet Zloader, era el robo financiero, el robo de ID de inicio de sesión, contraseñas y otra información para sacar dinero de las cuentas de las personas.
Microsoft obtuvo una orden judicial del Tribunal de Distrito de los Estados Unidos para el Distrito Norte de Georgia permitiéndole el control de 65 dominios que la banda Zloader utilizó para crecer, controlar, y comunicarse con su red de bots.
Microsoft anunció que a través de la Unidad de Crímenes Digitales (DCU, por sus siglas en inglés) ha tomado medidas para impedir la botnet criminal llamado Zloader Esta botnet está compuesta por dispositivos informáticos en empresas, hospitales, escuelas y hogares de todo el mundo y está dirigida por una banda mundial del crimen organizado basada en Internet que opera malware como un servicio, diseñado para robar y extorsionar dinero.
Gracias a la obtención de la orden judicial, la compañía logró que los dominios ahora estén dirigidos a un sumidero de Microsoft donde ya no pueden ser utilizados por los operadores criminales de la botnet. Zloader contiene un algoritmo de generación de dominios (“DGA”, por sus siglas en inglés) integrado en el malware que crea dominios adicionales como un canal de comunicación alternativo o de respaldo para la botnet. Además de los dominios codificados, la orden judicial permite tomar 319 dominios DGA registrados en la actualidad. Adicionalmente, ya se está trabajando para bloquear el registro futuro de dominios DGA.
Durante la investigación, se identificó a uno de los delincuentes detrás de la creación de un componente utilizado en la botnet ZLoader para distribuir ransomware llamado Denis Malikov, de Simferopol en la península de Crimea. Se eligió nombrar a una persona en relación con este caso para dejar en claro que a los ciberdelincuentes no se les permitirá esconderse detrás del anonimato de Internet para cometer sus delitos. La acción legal de hoy es el resultado de meses de investigación anteriores al conflicto actual en esa región.
En un inicio, el objetivo principal de Zloader era el robo financiero, el robo de ID de inicio de sesión, contraseñas y otra información para sacar dinero de las cuentas de las personas. Zloader también incluía un componente que deshabilitaba software de seguridad y antivirus populares, para evitar que las víctimas detectaran la infección de ZLoader. Con el tiempo, los que estaban detrás de Zloader comenzaron a ofrecer malware como servicio, una plataforma de entrega para distribuir ransomware, incluido Ryuk. Ryuk es bien conocido por apuntar hacia las instituciones de atención médica para extorsionar el pago sin tener en cuenta a los pacientes que ponen en riesgo.
DCU dirigió el esfuerzo de investigación detrás de esta acción en asociación con ESET, Black Lotus Labs (el brazo de inteligencia de amenazas de Lumen) y la Unidad 42 de Palo Alto Networks, con datos e información adicionales para fortalecer el caso legal de nuestros socios Financial Services Information Sharing. y Centros de Análisis (FS-ISAC, por sus siglas en inglés) y el Centro de Análisis e Intercambio de Información de Salud (H-ISAC, por sus siglas en inglés), además de nuestro Centro de Inteligencia de Amenazas de Microsoft y el equipo de Microsoft Defender. También reconocemos la contribución adicional de Avast en el apoyo a nuestro campo DCU en Europa.
Dicha disrupción tiene como objetivo deshabilitar la infraestructura de ZLoader y hacer que sea más difícil para esta banda criminal organizada continuar con sus actividades. Esperamos que los demandados hagan esfuerzos para reactivar las operaciones de Zloader. Remitimos este caso a las fuerzas del orden público, seguimos de cerca esta actividad y continuaremos nuestro trabajo con nuestros socios para monitorear las actividades de estos ciberdelincuentes. Trabajaremos con los proveedores de servicios de Internet (ISPs por sus siglas en inglés) para identificar y remediar a las víctimas. Como siempre, estamos listos para tomar medidas legales y técnicas adicionales para abordar Zloader y otras redes de bots.