La Unidad de Delitos Digitales (DCU, por sus siglas en inglés) de Microsoft acabó con una botnet criminal conocida como ZLoader, compuesta por equipos en empresas, hospitales, escuelas y hogares de todo el mundo, dirigida por una banda del crimen organizado internacional, que opera bajo el modelo de malware as a service para robar dinero y extorsionar.
La líder de la DCU, Amy Hogan-Burney, explicó en una publicación de blog que “obtuvimos una orden judicial del Tribunal de Distrito de Estados Unidos para el Distrito Norte de Georgia que nos permite tomar el control de 65 dominios que ZLoader usaba para crecer, controlar y comunicarse con su red de bots“.
Originalmente, su objetivo principal era información financiera: el robo de identidad para el inicio de sesión, contraseñas y otros datos para sacar dinero de las cuentas de las personas. También incluía un componente que deshabilitaba software antivirus y de seguridad.
Con el tiempo, quienes estaban detrás de Zloader comenzaron a ofrecer malware como servicio: una plataforma de entrega para distribuir ransomware, incluido Ryuk, conocido por apuntar a las instituciones de atención médica para extorsionar el pago sin tener en cuenta a los pacientes que ponen en riesgo.
Los dominios incautados, añadió, ahora están dirigidos a un sinkhole de Microsoft donde ya no pueden ser utilizados.
Identifican a perpetrador
Durante su investigación, Microsoft identificó a Denis Malikov, quien vive en la ciudad de Simferopol, en la península de Crimea; como uno de los perpetradores detrás de la creación de un componente utilizado en ZLoader para distribuir ransomware.
También lea: Microsoft toma control de siete dominios usados para atacar a Ucrania
“Decidimos nombrar a una persona en relación con este caso para dejar en claro que a los ciberdelincuentes no se les permitirá esconderse detrás del anonimato de internet para cometer sus delitos”, escribió la líder de la DCU.
La acción legal de hoy es el resultado de meses de investigación, previos incluso al conflicto actual en la región. Se trata de un esfuerzo conjunto con ESET, Black Lotus Labs —el brazo de inteligencia de amenazas de Lumen— y la Unidad 42 de Palo Alto Networks. Avast apoyó al equipo de la DCU en Europa.
Hogan-Burney explicó que la botnet tiene un algoritmo de generación de dominios (DGA, por sus siglas en inglés) integrado en el malware que crea adicionales como un canal de comunicación alternativo o de respaldo.
La orden judicial también le permitió la incautación de 319 dominios DGA registrados actualmente y la empresa trabaja para bloquear el registro de futuros.
“Estamos siguiendo de cerca esta actividad y continuaremos trabajando con nuestros socios para monitorear el comportamiento de estos ciberdelincuentes. Trabajaremos con los proveedores de servicios de internet para identificar y remediar a las víctimas. Como siempre, estamos listos para tomar medidas legales y técnicas adicionales para abordar Zloader y otras redes de bots”, concluyó.