Ciberseguridad

Microsoft desarticula Zloader, una red cibercriminal de alcance mundial

Zloader estaba especializada en la el robo y extorsión mediante ransomware y ha atacado a empresas, hospitales, colegios y usuarios particulares.

Redactora especializada en Seguridad y Tecnología.

3 minutos

Oficina de Microsoft

Microsoft ha anunciado que su Unidad de Crímenes Digitales – Digital Crimes Unit (DCU) – ha liderado las actividades de investigación que han permitido desarticular Zloader, una red de bots delictiva dirigida por un grupo de crimen organizado que operaba en todo el mundo.

Según indica en un comunicado, Zloader utilizaba la técnica de malware como servicio para robar datos a sus víctimas y extorsionarlas mediante ransomware. Entre los dispositivos informáticos que ha atacado, se encuentran los de empresas, hospitales, colegios así como los de usuarios particulares.

La DCU de Microsoft ha desmantelado esta red cibercriminal tomando medidas legales y técnicas y contando con la colaboración de ESET, Black Lotus Labs – la unidad de inteligencia ante amenazas de Lumen – y la Unidad 42 de Palo Alto Networks, que aportaron datos e información adicional que ayudó a reforzar la acción legal llevada a cabo por Microsoft a través de sus socios del Financial Services Information Sharing and Analysis Centers (FS-ISAC) y el Health Information Sharing and Analysis Center (H-ISAC). Asimismo, ha sido un trabajo conjunto con el Microsoft Threat Intelligence Center y el equipo de Microsoft Defender, contando además con la contribución de Avast, que apoyó al equipo de DCU de Microsoft en Europa.

Microsoft ha conseguido tomar el control de 65 dominios controlados por Zloader gracias a una orden judicial que había obtenido del Tribunal de Distrito de los Estados Unidos para el Distrito Norte de Georgia. Estos dominios eran usados por el grupo de cibercriminales para crecer, controlar y comunicarse con su red de bots y han sido redirigidos a un sinkhole de la compañía fundada por Bill Gates, de forma que no pueden volver a ser utilizados para desarrollar su actividad delictiva.

Zloader lleva incrustado en el malware un algoritmo de generación de dominios (DGA) que crea otros adicionales como canal de comunicación de reserva para la red de bots, por lo que además de los dominios cifrados, Microsoft ha podido tomar el control de otros 319 dominios DGA actualmente registrados. Además, el gigante informático asegura que también se está trabajando para bloquear un previsible registro de dominios en el futuro generados por el algoritmo malicioso y que las acciones que está llevando a cabo tienen como objetivo desarticular la infraestructura de ZLoader y dificultar que este grupo de crimen organizado continúe con sus actividades.

"En un primer momento, el objetivo principal de ZLoader era el robo financiero, mediante la sustracción de IDs de inicio de sesión, contraseñas y otros datos destinados a sustraer el dinero de las cuentas de las víctimas. ZLoader incluía un componente que deshabilitaba un conocido software de seguridad y antivirus, impidiendo así que las víctimas detectaran la infección. Con el tiempo, los ciberdelincuentes comenzaron a utilizar la técnica de malware como servicio para distribuir ransomware peligroso como Ryuk, conocido por dirigirse a instituciones sanitarias con el fin de extorsionar a las mismas, sin tener en cuenta que dichas acciones ponen en riesgo grave la vida de muchos pacientes", explica el comunicado.

También ha identificado a un ciberdelincuente de Zloader

Microsoft también destaca que durante la investigación logró identificar a uno de los responsables de crear un componente que usaba Zloader para distribuir ransomware y pedir así un rescate a cambio de recuperar los datos.

La compañía ha decidido hacer pública su identidad y ha desvelado que se llama Denis Malikov y reside en la ciudad de Simferopol, en la península de Crimea. Con esta revelación, Microsoft asegura que su intención es "dejar claro que no se permitirá a los ciberdelincuentes esconderse tras el anonimato de Internet para cometer sus delitos" y apunta que la esta acción legal es el resultado de meses de investigación, anteriores al conflicto que actualmente se está librando en la región.   

"La red cibercriminal se esforzará por reactivar las operaciones de ZLoader. Hemos remitido este caso a las autoridades y lo estamos siguiendo de cerca. Continuaremos trabajando con nuestros socios para vigilar el comportamiento de estos ciberdelincuentes, así como con los proveedores de servicios de Internet (ISP) para identificar y dar soluciones a las víctimas", ha declarado Amy Hogan-Burney, General Manager of the Digital Crimes Unit/Associate General Counse en Microsoft. "Estamos dispuestos, como de costumbre, a tomar medidas legales y técnicas adicionales para hacer frente a ZLoader y otras redes de bots".