La multinacional estadounidense Microsoft ha informado que su Unidad de Crímenes Digitales ha tomado las medidas técnicas y legales para desarticular una red de «bots» denominada ZLoader, de origen ruso, que utilizaba la técnica del «malware» para robar datos y extorsionar, infectando los dispositivos informáticos de empresas, hospitales, colegios y usuarios particulares.
El año pasado el Servicio Público de Empleo Estatal (SEPE) sufrió, el año pasado, dos ciberataques del «ransomware» Ryuk, que opera de forma similar al ZLoader, que lo dejaron tumbado durante varios días.
Tanto Ryuk como Zloader funcionan de forma similar. El «ransomware» que logran colar en sus objetivos cifra la información de los esquipos y restringe el acceso a determinadas partes del sistema o archivos. Para restablecerlo a su estado normal exigen un rescate.
Según relata Microsoft, obtuvo una orden judicial del Tribunal de Distrito de los Estados Unidos para el Distrito Norte de Georgia, que le permitó controlar 65 dominios que el grupo criminal de ZLoader usaba para crecer, controlar y comunicarse con su red de bots.
Estos dominios fueron redirigidos a un «sinkhole» de Microsoft, de forma que no puedan seguir siendo utilizados por los cibercriminales para desarrollar su actividad delictiva.
Durante la investigación, la compañía identificó al responsable. Su nombre es Denis Malikov y reside en la ciudad de Simferopol, en la península de Crimea, territorio ucraniano ocupado por los rusos desde 2014
ZLoader contiene un algoritmo de generación de dominios (DGA) incrustado en el «malware» que crea otros adicionales como canal de comunicación de reserva para la red de «bots», por lo que además de los dominios cifrados, Microsoft puto controlar otros 319 dominios DGA actualmente registrados.
También se está trabajando para bloquear un previsible futuro registro de dominios generados por el algoritmo malicioso.
MICROSOFT IDENTIFICA AL RESPONSABLE
Las actividades de Microsoft tienen como objetivo desarticular la infraestructura de ZLoader y dificultar que este grupo de crimen organizado continúe con sus actividades.
Durante la investigación, la compañía identificó al responsable. Su nombre es Denis Malikov y reside en la ciudad de Simferopol, en la península de Crimea, territorio ucraniano ocupado por los rusos desde 2014.
«Microsoft ha decidido hacer pública su identidad y su relación con este caso para dejar claro que no se permitirá a los ciberdelincuentes esconderse tras el anonimato de Internet para cometer sus delitos. La acción legal desarrollada es el resultado de meses de investigación, anteriores al actual conflicto en la región», afirma la multinacional en un comunicado.
En un primer momento, el objetivo principal de ZLoader era el robo financiero, mediante la sustracción de IDs de inicio de sesión, contraseñas y otros datos destinados a sustraer el dinero de las cuentas de las víctimas.
ZLoader incluía un componente que deshabilitaba un conocido software de seguridad y antivirus, impidiendo así que las víctimas detectaran la infección.
Con el tiempo, los ciberdelincuentes comenzaron a utilizar la técnica de «malware» como servicio para distribuir «ransomware» peligroso como Ryuk, conocido por dirigirse a instituciones sanitarias con el fin de extorsionar a las mismas, sin tener en cuenta que dichas acciones ponen en riesgo grave la vida de muchos pacientes.
“La red cibercriminal se esforzará por reactivar las operaciones de ZLoader. Hemos remitido este caso a las autoridades y lo estamos siguiendo de cerca. Continuaremos trabajando con nuestros socios para vigilar el comportamiento de estos ciberdelincuentes, así como con los proveedores de servicios de Internet (ISP) para identificar y dar soluciones a las víctimas”, declaró Amy Hogan-Burney, General Manager de la Unidad de Crímenes Digitales de Microsoft. “Estamos dispuestos, como de costumbre, a tomar medidas legales y técnicas adicionales para hacer frente a ZLoader y otras redes de bots”, añadió.
TRABAJO CONJUNTO PARA EL DESMANTELAMIENTO DE LA RED CRIMINAL
La Unidad de Crímenes Digitales de Microsoft lideró las actividades de investigación para desmantelar la red cibercriminal y contó con la colaboración de ESET, Black Lotus Labs -la unidad de inteligencia ante amenazas de Lumen– y la Unidad 42 de Palo Alto Networks, que aportaron datos e información adicional que ayudó a reforzar la acción legal llevada a cabo por Microsoft a través de sus socios del Financial Services Information Sharing and Analysis Centers –FS-ISAC– y el Health Information Sharing and Analysis Center –H-ISAC-.
Asimismo, ha sido un trabajo conjunto con el Microsoft Threat Intelligence Center y el equipo de Microsoft Defender, contando además con la contribución de Avast, que apoyó al equipo de DCU de Microsoft en Europa.
