Microsoft anunció que a través de la Unidad de Crímenes Digitales (DCU, por sus siglas en inglés) ha tomado medidas para frenar al botnet criminal llamado Zloader. Este mecanismo compuesto por dispositivos informáticos en empresas, hospitales, escuelas y hogares de todo el mundo forma parte de un organismo del crimen organizado que, a través de internet, opera malware como servicio, empleándolo para robar y extorsionar.
Con la obtención de una orden judicial emitida por el Tribunal de Distrito de los Estados Unidos para el Distrito Norte de Georgia, la compañía adquirió el control de diferentes dominios, los cuales fueron inhabilitados para que no puedan ser utilizados por los operadores criminales de la botnet. Zloader contiene un algoritmo de generación de dominios (“DGA”, por sus siglas en inglés) integrado en el malware que crea direcciones adicionales como un canal de comunicación alternativo o de respaldo; además de los dominios codificados, la orden judicial permite tomar 319 DGAs registrados en la actualidad, con el objetivo de bloquear el registro futuro otras direcciones de este tipo.
Durante la investigación, se identificó a uno de los delincuentes detrás de la creación de un componente para distribuir ransomware, el cual ha sido reconocido como Denis Malikov, de Simferopol en la península de Crimea. Se eligió nombrar a una persona en relación con este caso para dejar en claro que a los ciberdelincuentes no se les permitirá esconderse detrás del anonimato de Internet. La acción legal de hoy es el resultado de meses de investigación anteriores al conflicto actual en esa región.
En un inicio, el objetivo principal de Zloader era el robo financiero, el robo de ID de inicio de sesión, contraseñas y otra información para sacar dinero de las cuentas de las personas. Zloader también incluía un componente que deshabilitaba software de seguridad y antivirus populares, para evitar que las víctimas detectaran la infección de ZLoader. Con el tiempo, los que estaban detrás del botnet comenzaron a ofrecer malware como servicio, una plataforma de entrega para distribuir ransomware, incluyendo el ataque Ryuk, conocido por apuntar hacia instituciones de atención médica para extorsionar el pago sin tener en cuenta a los pacientes que ponen en riesgo.
DCU dirigió el esfuerzo de investigación detrás de esta acción en asociación con ESET, Black Lotus Labs (el brazo de inteligencia de amenazas de Lumen) y la Unidad 42 de Palo Alto Networks, con datos e información adicionales para fortalecer el caso legal de socios del Financial Services Information Sharing, Centros de Análisis (FS-ISAC, por sus siglas en inglés) y el Centro de Análisis e Intercambio de Información de Salud (H-ISAC, por sus siglas en inglés), además del Centro de Inteligencia de Amenazas de Microsoft y el equipo de Microsoft Defender. También se reconoce la contribución adicional de Avast en el apoyo al campus del DCU en Europa.
Dicha disrupción tiene como objetivo deshabilitar la infraestructura de ZLoader y hacer que sea más difícil para esta banda criminal organizada continuar con sus actividades. Se espera que los demandados hagan esfuerzos para reactivar las operaciones de Zloader, sin embargo el caso ha sido remitido a las fuerzas del orden público, mientras que Microsoft se ha comprometido a seguir de cerca esta actividad y continuar trabajando de manera conjunta con su red de aliados para monitorear las actividades de estos ciberdelincuentes, incluyendo la colaboración con proveedores de servicios de Internet (ISPs por sus siglas en inglés) para identificar y remediar a las víctimas.