15 abr 2022

Desbaratan la botnet criminal ZLoader

La Unidad de Delitos Digitales (DCU, por sus siglas en inglés) de Microsoft ha tomado medidas legales y técnicas para desbaratar una botnet criminal llamada ZLoader.

ZLoader se compone de dispositivos infectados en empresas, hospitales, escuelas y hogares de todo el mundo y está a cargo de una pandilla mundial del crimen organizado basada en Internet que opera malware como un servicio diseñado para robar y extorsionar dinero. Esta acción legal es el resultado de meses de investigación anteriores al conflicto actual en la región de Ucrania.

Microsoft obtuvo una orden judicial del Tribunal de Distrito de los Estados Unidos que les permitió tomar el control de 65 dominios que la pandilla ZLoader usaba para crecer, controlar y comunicarse con su red de bots. Los dominios ahora están dirigidos a un sinkhole de Microsoft donde ya no pueden ser utilizados por los operadores criminales de la botnet. Zloader contiene un algoritmo de generación de dominios (DGA) integrado en el malware que crea dominios adicionales como un canal de comunicación alternativo o de respaldo para la botnet. Además de los dominios codificados, se tomó el control de otros 319 dominios DGA registrados actualmente y están trabajando para bloquear el registro futuro de dominios DGA.

Durante la investigación, identificaron a uno de los creadores de un componente utilizado en la botnet ZLoader para distribuir ransomware: Denis Malikov, que vive en la ciudad de Simferopol en la península de Crimea.

Originalmente, el objetivo principal de Zloader era el robo financiero, el robo de ID de inicio de sesión, contraseñas y otra información de la cuenta para sacar dinero de las cuentas de las personas. Zloader también incluía un componente que deshabilitaba los componentes de seguridad, evitando así que las víctimas detectaran la infección de ZLoader. Con el tiempo, los que estaban detrás de Zloader comenzaron a ofrecer malware como servicio (MaaS), una plataforma de entrega para distribuir ransomware, incluido Ryuk. Ryuk es bien conocido por apuntar a las instituciones de atención médica para extorsionar sin tener en cuenta a los pacientes que ponen en riesgo.

DCU trabajo en asociación con ESET, Black Lotus Labs (el brazo de inteligencia de amenazas de Lumen), y Palo Alto Networks Unit 42, con datos e ideas adicionales para fortalecer nuestro caso legal de nuestros socios Financial Services Information Sharing and Analysis Center (FS-ISAC) y Health Information Sharing and Analysis Center (H-ISAC), además de nuestro Centro de Inteligencia de Amenazas de Microsoft y el equipo de Microsoft Defender. También reconocemos la contribución adicional de Avast en el apoyo a nuestro campo DCU en Europa.

La interrupción tiene como objetivo deshabilitar la infraestructura de ZLoader y dificultar que esta pandilla criminal organizada continúe con sus actividades, aunque se espera que los demandados hagan esfuerzos para reactivar las operaciones de Zloader.

Fuente: Microsoft

Suscríbete a nuestro Boletín

0 Comments:

Publicar un comentario

Gracias por dejar un comentario en Segu-Info.

Gracias por comentar!