Die Microsoft Digital Crimes Unit (DCU) hat rechtliche und technische Maßnahmen ergriffen, um das kriminelle Botnetz ZLoader zu zerschlagen. ZLoader besteht aus Computern in Unternehmen, Krankenhäusern, Schulen und Privathaushalten weltweit. Betrieben wird es von einer globalen, internetbasierten organisierten Hackergruppe, die „Malware as a Service“ anbietet, um damit Vermögenswerte zu stehlen und zu erpressen.
Um den kriminellen Machenschaften der Gruppe Einhalt zu gebieten, hat Microsoft beim United States District Court for the Northern District of Georgia einen Gerichtsbeschluss erwirkt. Dieser erlaubte es uns, die Kontrolle über 65 Domains zu übernehmen, die die ZLoader-Hacker*innen zum Aufbau, zur Kontrolle und zur Kommunikation mit ihrem Botnetz verwendeten. Die Domains werden nun in ein Microsoft-Sinkhole geleitet, wo sie von den Cyberkriminellen nicht mehr genutzt werden können. Zloader enthält einen in die Malware eingebetteten Domain-Generation-Algorithm (DGA), der zusätzliche Domains als Fallback- oder Backup-Kommunikationskanal für das Botnet erstellt. Zusätzlich zu den hardcoded Domains ermöglicht uns der Gerichtsbeschluss, die Kontrolle über weitere 319 derzeit registrierte DGA-Domains zu übernehmen. Wir arbeiten zudem daran, die zukünftige Registrierung von DGA-Domains zu verhindern.
Ursprünglich bestand das Hauptziel von Zloader im Diebstahl von Vermögenswerten, z.B. durch das Stehlen von Kontoanmeldedaten, Passwörtern und anderen Informationen, um letztlich finanzielle Vorteile zu erzielen. Zloader enthielt zudem eine Komponente, die gängige Sicherheits- und Antivirensoftware deaktivierte und so Geschädigte daran hinderte, eine ZLoader-Infektion zu erkennen. Im Laufe der Zeit ging die kriminelle Gruppe dazu über, „Malware as a Service“ anzubieten, eine Plattform für die Verbreitung von Ransomware wie Ryuk. Ryuk ist bekannt dafür, gegen Einrichtungen des Gesundheitswesens eingesetzt zu werden, um Zahlungen zu erpressen – ohne Rücksicht auf das Wohl von Patient*innen.
Die DCU leitete die Ermittlungen in Zusammenarbeit mit ESET, Black Lotus Labs (der Abteilung für Threat Intelligence von Lumen) und Palo Alto Networks Unit 42. Zusätzliche Daten und Erkenntnisse für die Untermauerung unseres Verfahrens kamen von unseren Partnern, dem Financial Services Information Sharing and Analysis Center (FS-ISAC) und dem Health Information Sharing and Analysis Center (H-ISAC), sowie von unserem Microsoft Threat Intelligence Center und dem Microsoft Defender-Team. Auch Avast unterstütze zusätzlich unsere DCU-Abteilung in Europa.
Unsere Maßnahmen verfolgen das Ziel, die Infrastruktur von ZLoader lahmzulegen und es dieser organisierten kriminellen Gruppe zu erschweren, ihre Aktivitäten fortzusetzen. Wir gehen indes davon aus, dass die Beschuldigten Anstrengungen unternehmen werden, um diese fortzuführen. Wir haben diesen Fall an die Strafverfolgungsbehörden übermittelt, verfolgen die Aktivitäten genau und werden weiterhin mit unseren Partnern zusammenarbeiten, um die Tätigkeiten der Cyberkriminellen zu überwachen. Wir werden mit Internet Service Providern (ISP) zusammenarbeiten, um die Geschädigten zu identifizieren und bestehende Infektionen auf ihren Geräten zu beseitigen. Wie immer sind wir bereit, zusätzliche rechtliche und technische Maßnahmen zu ergreifen, um gegen Zloader und andere Botnets vorzugehen.
Weitere Informationen gibt es in diesem englischen Beitrag.
Ein Beitrag von Amy Hogan-Burney
General Manager Digital Crimes Unit
