Microsoft : nous venons de perturber ce botnet qui propage les rançongiciels

Microsoft a procédé à un autre démantèlement technico-juridique contre les cybercriminels, cette fois pour démanteler l’infrastructure du botnet ZLoader.

Le malware ZLoader a infecté des milliers d’organisations, principalement aux États-Unis, au Canada et en Indeet est connu pour avoir distribué le rançongiciel Conti.

Microsoft a maintenant reçu une ordonnance du tribunal de district des États-Unis pour le district nord de la Géorgie qui lui a permis de saisir 65 domaines que le gang ZLoader utilisait pour la commande et le contrôle (C&C) pour son botnet construit à partir de logiciels malveillants qui infectaient les entreprises, les hôpitaux, les écoles et les foyers.

VOIR: Des pirates informatiques ignorants ont passé des mois à l’intérieur d’un réseau et personne ne l’a remarqué. Mais ensuite, un gang de rançongiciels est apparu

Ces domaines sont désormais dirigés vers un gouffre Microsoft, hors du contrôle du gang ZLoader.

Microsoft a également pris le contrôle des domaines utilisés par ZLoader pour son algorithme de génération de domaine (DGA), qui est utilisé pour créer automatiquement de nouveaux domaines pour le C2 du botnet.

“Zloader contient un algorithme de génération de domaine (DGA) intégré au logiciel malveillant qui crée des domaines supplémentaires comme canal de communication de secours ou de secours pour le botnet. En plus des domaines codés en dur, l’ordonnance du tribunal nous permet de prendre le contrôle de 319 domaines supplémentaires actuellement enregistrés. domaines DGA. Nous nous efforçons également de bloquer l’enregistrement futur de domaines DGA,” a déclaré Amy Hogan-Burney, directrice générale de l’unité des crimes numériques de Microsoft.

Microsoft a mené l’action contre ZLoader en partenariat avec des chercheurs de ESET, Lumenc’est Laboratoires du Lotus noiret Palo Alto Réseaux Unité 42. Avast a également participé à l’enquête européenne DCU de Microsoft. Selon ESET, Zloader avait environ 14 000 échantillons uniques et plus de 1 300 serveurs C&C uniques.

Microsoft reconnaît que ZLoader n’est pas terminé et travaille également avec les FAI pour identifier et corriger les infections sur les systèmes infectés. Il a également renvoyé l’affaire aux forces de l’ordre.

Microsoft en 2020 utilisé une approche technico-juridique similaire pour éliminer le botnet Trickbot.

Microsoft dans son analyse technique de ZLoader note que le groupe a utilisé Google Ads pour distribuer le rançongiciel Ryuk, lui permettant de contourner la sécurité des e-mails et de le faire apparaître dans le navigateur à la place. Les publicités malveillantes et les e-mails étaient ses principaux mécanismes de diffusion. Chaque campagne imitait des marques technologiques connues, notamment Java, Zoom, TeamViewer et Discord.

“Les acteurs achèteraient Google Ads pour les termes clés associés à ces produits, tels que”agrandir la visioconférence. “Les utilisateurs qui effectuaient des recherches Google sur ces termes pendant une période donnée se verraient présenter une publicité qui conduirait le formulaire à saisir des domaines malveillants”, explique Microsoft.

Pour la livraison des e-mails, le groupe utilisait souvent des pièces jointes Microsoft Office et abusait de macros pour infecter les machines. Les leurres pour inciter les victimes à ouvrir un document et à activer des macros comprenaient des alertes COVID-19, des paiements de factures en retard et de faux CV.

Ce n’est probablement pas encore la fin de l’histoire, cependant. “Notre perturbation vise à désactiver l’infrastructure de ZLoader et à rendre plus difficile la poursuite de ses activités par ce gang criminel organisé. Nous nous attendons à ce que les accusés fassent des efforts pour relancer les opérations de ZLoader”, a déclaré Microsoft.

Leave a Comment