Microsoft ha annunciato di aver messo fine a Zloader, un’altra pericolosa botnet colpevole di diffondere malware.
Microsoft interrompe la botnet di Zloader
Grazie a una operazione durata mesi guidata dalla Digital Crimes Unit (DCU) di Microsoft e altre società di sicurezza informatica e telecomunicazioni, si è potuto mettere fine e prendere il controllo di dozzine di server e centinaia di domini utilizzati dalla famosa botnet Zloader per diffondere malware, ransomware e colpire enti bancari di tutto il mondo, che in precedenza ha sfruttato anche i servizi Microsoft come Office e Defender.
Microsoft è intervenuta contro il trojan ZLoader collaborando con i fornitori di telecomunicazioni di tutto il mondo per interrompere l’infrastruttura chiave di ZLoader.
Gli attacchi di ZLoader hanno colpito nazioni di tutto il mondo, la maggior parte ha preso di mira Stati Uniti, Cina, Europa occidentale e Giappone. A causa della natura modulare di alcune delle capacità di ZLoader e dei suoi continui cambiamenti nelle tecniche, le diverse campagne ZLoader potrebbero non assomigliare per niente. Le campagne precedenti sono state abbastanza semplici, con il malware distribuito tramite macro di Office dannose allegate alle e-mail e quindi utilizzato per distribuire i moduli per le funzionalità. Altre campagne più recenti sono particolarmente complesse:
iniettare codice dannoso in processi legittimi, disabilitare le soluzioni antivirus e, infine, sfociare in ransomware. Abbiamo ottenuto un’ingiunzione del tribunale dal tribunale distrettuale degli Stati Uniti per il distretto settentrionale della Georgia che ci consente di assumere il controllo di 65 domini che la banda di ZLoader ha utilizzato per crescere, controllare e comunicare con la sua botnet. I domini sono ora indirizzati a una voragine Microsoft dove non possono più essere utilizzati dagli operatori criminali della botnet. Zloader contiene un algoritmo di generazione del dominio (DGA) incorporato nel malware che crea domini aggiuntivi come canale di comunicazione di riserva o di backup per la botnet. Oltre ai domini hardcoded, l’ordinanza del tribunale ci consente di assumere il controllo di altri 319 domini DGA attualmente registrati. Stiamo anche lavorando per bloccare la futura registrazione dei domini DGA.
Microsoft ha divulgato anche il nome di uno dei componenti della banda di cybercriminali dietro la botnet, che risiedeva e operava nella regione della Crimea in Ucraina.
Durante la nostra indagine, abbiamo identificato uno degli autori dietro la creazione di un componente utilizzato nella botnet ZLoader per distribuire ransomware come Denis Malikov, che vive nella città di Simferopol, nella penisola di Crimea. Abbiamo scelto di nominare un individuo in relazione a questo caso per chiarire che i criminali informatici non potranno nascondersi dietro l’anonimato di Internet per commettere i loro crimini. L’azione legale di oggi è il risultato di mesi di indagine che precedono l’attuale conflitto nella regione.
In origine, l’obiettivo principale di Zloader era il furto finanziario, il furto di ID di accesso all’account, password e altre informazioni per prelevare denaro dagli account delle persone. Zloader includeva anche un componente che disabilitava il popolare software antivirus e di sicurezza, impedendo così alle vittime di rilevare l’infezione da ZLoader. Nel corso del tempo coloro che stanno dietro Zloader hanno iniziato a offrire malware come servizio, una piattaforma di distribuzione per distribuire ransomware incluso Ryuk. Ryuk è noto per aver preso di mira le istituzioni sanitarie per estorcere pagamenti indipendentemente dai pazienti che mettono a rischio.
Cosa ne pensate della faccenda? Scrivete la vostra opinione nei commenti.
Articolo di Windows Blog Italia
Fonti | 1, 2
