La Unidad de Crímenes Digitales de Microsoft (DCU, por sus siglas en inglés) ha llevado a cabo una operación junto a ESET, Black Lotus Labs y la Unit 42 de Palo Alto Networks que ha dado como resultado la desarticulación de una red de bots llamada ZLoader. El malware que daba nombre a la red empezó su vida como un troyano bancario inspirado en
Zeus, pero evolucionó para convertirse en un distribuidor de
ransomware que durante los últimos tres años ha atacado a empresas, hospitales, colegios y usuarios particulares.
La operación que han llevado a cabo Microsoft y sus socios ha consistido en apoderarse, orden judicial mediante, de los dominios de tres redes de bots o botnets, cada una de las cuales empleaba una versión diferente del malware Zloader. Se identificaron un total de 65 dominios que el grupo criminal usaba para crecer, controlar y comunicarse con su red de bots. Estos dominios han sido redirigidos a un
sinkhole de Microsoft. De esta forma se evita que el malware ya instalado actúe y pueda seguir siendo usado por los cibercriminales.
Los bots de Zloader también están apoyados por un canal de comunicación de reserva que genera automáticamente nombres de dominio únicos que se pueden usar para recibir órdenes de su responsable. Esta técnica, conocida como algoritmo de generación de dominios (DGA, por sus siglas en inglés), genera 32 dominios diferentes por día y botnet. Microsoft ha podido tomar el control de otros 319 dominios DGA actualmente registrados y se trabaja en bloquear un previsible futuro registro de dominios generados por el algoritmo.
“Las actividades de Microsoft tienen como objetivo desarticular la infraestructura de ZLoader y dificultar que este grupo de crimen organizado continúe con sus actividades”, dice la compañía en un comunicado. Además, en esta ocasión la tecnológica estadounidense ha identificado públicamente a uno de los responsables de crear un componente utilizado en la red de bots ZLoader para distribuir
ransomware. Se trata de Denis Malikov, un hombre que reside en la ciudad de Simferopol, en la península de Crimea.
“En un primer momento, el objetivo principal de ZLoader era el robo financiero [...]”, explica Microsoft. “ZLoader incluía un componente que deshabilitaba un conocido software de seguridad y antivirus, impidiendo así que las víctimas detectaran la infección. Con el tiempo, los ciberdelincuentes comenzaron a utilizar la técnica de malware como servicio para distribuir ransomware peligroso como Ryuk, conocido por dirigirse a instituciones sanitarias con el fin de extorsionar a las mismas [...]”. ZLoader también se aprovechaba de la verificación de la firma digital de Microsoft para robar información sensible de las víctimas.
Que la red ZLoader se haya desarticulado no significa que el malware desaparezca ni que haya pasado el peligro. Por eso motivo siempre se recomienda tener todo el software actualizado y no instalar nada sospechoso.