Hoje anunciamos que a Unidade de Crimes Digitais (DCU) da Microsoft tomou medidas legais e técnicas para interromper um botnet criminoso chamado ZLoader, presente em dispositivos de computação em empresas, hospitais, escolas e residências em todo o mundo, e administrado por uma gangue global de crime organizado que operava o malware como um serviço projetado para roubar e extorquir dinheiro.
Obtivemos uma ordem judicial do Tribunal Distrital do Norte da Geórgia, nos Estados Unidos, que nos permitiu assumir o controle de 65 domínios que a gangue ZLoader vinha usando para crescer, controlar e se comunicar com o botnet. Os domínios agora são direcionados para um sumidouro da Microsoft, onde não podem mais ser usados pelos operadores criminosos do botnet.
O Zloader contém um algoritmo de geração de domínio (DGA) embutido no malware, que cria domínios adicionais como um canal de comunicação de fallback ou backup para o botnet. Além dos domínios codificados, a ordem judicial nos permite assumir o controle de mais 319 domínios DGA atualmente registrados. Também estamos trabalhando para bloquear o registro futuro destes endereços.
Durante nossa investigação, identificamos Denis Malikov, que mora na cidade de Simferopol, na Península da Crimeia, como um dos autores por trás da criação de um componente usado no botnet ZLoader. Optamos por nomear um indivíduo em conexão com este caso para deixar claro que os cibercriminosos não poderão se esconder atrás do anonimato da internet para cometer seus crimes. A ação legal de hoje é resultado de meses de investigação que antecedem o atual conflito na região.
Originalmente, o objetivo principal do Zloader era o roubo financeiro, confiscando IDs de login, senhas e outras informações para tirar dinheiro das contas bancárias das pessoas. O Zloader também contava com um componente que desabilitava softwares antivírus e de segurança populares, impedindo assim que as vítimas detectassem a invasão. Com o tempo, aqueles por trás do Zloader começaram a oferecer malware como serviço, uma plataforma de entrega para distribuir ransomware. Um deles foi o Ryuk, conhecido por ser direcionado a instituições de saúde para extorquir pagamentos, sem levar em conta os pacientes que eles colocavam em exposição.
A DCU liderou o esforço investigativo por trás dessa ação em parceria com a ESET, Black Lotus Labs (o braço de inteligência de ameaças da Lumen) e a Palo Alto Networks Unit 42, com dados e insights adicionais para fortalecer o caso legal de nossos parceiros Financial Services Information Sharing e Centros de Análise (FS-ISAC) e o Centro de Análise e Compartilhamento de Informações de Saúde (H-ISAC), além do Centro de Inteligência Contra Ameaças da Microsoft e da equipe do Microsoft Defender. Também reconhecemos a contribuição da Avast no apoio à nossa DCU na Europa.
Nossa interrupção visa desativar a infraestrutura do ZLoader e tornar mais difícil a continuidade das atividades dessa organização criminosa organizada. É natural que os réus farão esforços para reviver as operações do Zloader. Por isso, encaminhamos este caso para a aplicação da lei e estamos acompanhando essa atividade de perto. Continuaremos trabalhando com nossos parceiros para monitorar o comportamento desses cibercriminosos. Trabalharemos com provedores de serviços de Internet (ISPs) para identificar e remediar as vítimas. Como sempre, estamos prontos para tomar medidas legais e técnicas adicionais para lidar com o Zloader e outras ameaças digitais.
