Microsoft desarticula la red cibercriminal ZLoader especializada en el robo y extorsión mediante 'ransomware'
La Unidad de Crímenes Digitales de Microsoft (DCU, por sus siglas en inglés) ha desarticulado una red de 'bots' delictiva llamada ZLoader, que utilizaba la técnica de 'malware' como servicio para robar datos y extorsionar, infectando los dispositivos informáticos de empresas, hospitales, colegios y usuarios particulares.
El objetivo principal de ZLoader era en un primer momento el robo financiero, mediante la sustracción de credenciales de inicio de sesión, aunque con el tiempo los ciberdelincuentes comenzaron a utilizar la técnica de 'malware' como servicio para distribuir 'ransomware' peligroso como Ryuk.
Con este 'ransomware' -un programa malicioso que cifra la información de un ordenador y solicita un pago a cambio de su recuperación- se dirigió contra equipos de empresas, hospitales, colegios y usuarios particulares, como informa en un comunicado.
Microsoft ha obtenido una orden judicial del Tribunal de Distrito de los Estados Unidos para el Distrito Norte de Georgia, que le ha permitido tomar el control de 65 dominios que el grupo criminal de ZLoader usaba para crecer, controlar y comunicarse con su red de 'bots'.
Estos dominios han sido redirigidos a un 'sinkhole' de Microsoft, de forma que no puedan seguir siendo utilizados por los cibercriminales para desarrollar su actividad delictiva.
ZLoader contiene un algoritmo de generación de dominios (DGA) incrustado en el 'malware' que crea otros adicionales como canal de comunicación de reserva para la red de 'bots', por lo que además de los dominios cifrados, Microsoft ha podido tomar el control de otros 319 dominios DGA actualmente registrados. También se está trabajando para bloquear un previsible futuro registro de dominios generados por el algoritmo malicioso.
Durante la investigación, la compañía identificó a uno de los responsables de crear un componente utilizado en la red de 'bots' ZLoader para distribuir 'ransomware'. Se trata de Denis Malikov, residente de Simferopol, una ciudad de la península de Crimea.
Al compartir su identidad, la compañía tecnológica busca "dejar claro" que "no se permitirá a los ciberdelincuentes esconderse tras el anonimato de Internet para cometer sus delitos".
DCU lideró las actividades de investigación para desmantelar la red cibercriminal y contó con la colaboración de ESET, Black Lotus Labs -la unidad de inteligencia ante amenazas de Lumen- y la Unidad 42 de Palo Alto Networks, que aportaron datos e información adicional que ayudó a reforzar la acción legal llevada a cabo por Microsoft a través de sus socios del Financial Services Information Sharing and Analysis Centers -FS-ISAC- y el Health Information Sharing and Analysis Center -H-ISAC-.
Asimismo, ha sido un trabajo conjunto con el Microsoft Threat Intelligence Center y el equipo de Microsoft Defender, contando además con la contribución de Avast, que apoyó al equipo de DCU de Microsoft en Europa.