Gli esperti di Microsoft, ESET, Lumen, Palo Alto Networks e altre aziende, si sono uniti per interrompere una grande botnet di distribuzione di malware.
In un post sul blog, Microsoft 365 Defender Threat Intelligence Team ha detto che il gruppo è riuscito a interrompere il malware ZLoader, utilizzato in tutto il mondo per lanciare ransomware e simili attacchi informatici.
Dopo aver ottenuto un ordine del tribunale, l’azienda ha sequestrato 65 domini command-and-control (C2) che il gruppo ZLoader ha utilizzato nelle sue attività.
“I domini sono ora diretti a un sinkhole di Microsoft dove non possono più essere utilizzati dagli operatori criminali della botnet. Zloader contiene un algoritmo di generazione di domini (DGA) incorporato all’interno del malware che crea domini aggiuntivi come canale di comunicazione fallback o di backup per la botnet“, ha spiegato Microsoft.
“Oltre ai domini hardcoded, l’ordine del tribunale ci permette di prendere il controllo di altri 319 domini DGA attualmente registrati. Stiamo anche lavorando per bloccare la registrazione futura dei domini DGA“.
La cattiva notizia è che si tratta, molto probabilmente, solo di un’interruzione temporanea, in quanto ZLoader è noto come un potente malware persistente.
Quando è emerso per la prima volta, circa tre anni fa, ZLoader era un trojan bancario, che forniva ai suoi operatori la possibilità di rubare le credenziali di accesso e altri dati necessari per accedere ai servizi bancari sull’endpoint compromesso. Era anche in grado di disabilitare il popolare software antivirus, rimanendo sui dispositivi per molto più tempo di altri trojan, al momento.
Poco dopo, i suoi creatori hanno iniziato a offrirlo come servizio, con gli operatori di ransomware che sono diventati i clienti più comuni come ad esempio il famigerato ransomware Ryuk che ha utilizzato l’infrastruttura di ZLoader per lanciare attacchi che hanno portato a decine di milioni di dollari di danni.
Microsoft ha anche detto che un certo Denis Malikov, dalla Crimea, era uno dei creatori di ZLoader.
“Abbiamo scelto di nominare un individuo in relazione a questo caso per chiarire che ai criminali informatici non sarà permesso di nascondersi dietro l’anonimato di internet per commettere i loro crimini“.
