Cyber-Sicherheitsexperten von Microsoft, ESET, Lumen, Palo Alto Networks und anderen Unternehmen haben sich zusammengetan, um ein großes Malware-Verteilungs-Botnet zu stören.
In einem Blogbeitrag sagte das Microsoft 365 Defender Threat Intelligence Team, die Gruppe habe die ZLoader-Malware erfolgreich gestört, die weltweit zum Starten von Ransomware und ähnlichen Cyberangriffen verwendet wird.
Nach Erhalt eines Gerichtsbeschlusses beschlagnahmte das Unternehmen 65 Command-and-Control (C2)-Domains, die die ZLoader-Gruppe in ihrem Betrieb nutzte.
Zukünftige Registrierung blockieren
„Die Domains werden jetzt in eine Microsoft-Senke geleitet, wo sie nicht länger von kriminellen Botnet-Betreibern verwendet werden können. Zloader enthält einen in die Malware eingebetteten Domänengenerierungsalgorithmus (DGA), der zusätzliche Domänen als Backup oder Backup-Kommunikationskanal für das Botnetz erstellt“, erklärte Microsoft.
„Zusätzlich zu den verschlüsselten Domains erlaubt uns der Gerichtsbeschluss, die Kontrolle über weitere 319 derzeit registrierte DGA-Domains zu übernehmen. Wir arbeiten auch daran, zukünftige Registrierungen von DGA-Domains zu blockieren.
Die schlechte Nachricht ist, dass dies wahrscheinlich nur ein vorübergehender Ausfall ist, da ZLoader als leistungsstarke persistente Malware bekannt ist.
Als es vor etwa drei Jahren zum ersten Mal auftauchte, war ZLoader ein Banking-Trojaner, der seinen Betreibern die Möglichkeit gab, Anmeldeinformationen und andere Daten zu stehlen, die für den Zugriff auf Bankdienste am kompromittierten Terminal erforderlich sind. Es war auch in der Lage, gängige Antivirensoftware zu deaktivieren, die viel länger auf Geräten verblieb als andere Trojaner zu dieser Zeit.
Bald darauf begannen seine Ersteller, es als Service anzubieten, und Ransomware-Betreiber wurden zu den häufigsten Kunden. In seinem Bericht erinnert Forbes daran, dass es die berüchtigte Ryuk-Ransomware war, die die ZLoader-Infrastruktur nutzte, um Angriffe zu starten, die Schäden in zweistelliger Millionenhöhe verursachten.
Microsoft sagte auch, dass ein gewisser Denis Malikov von der Krim einer der Schöpfer von ZLoader war.
„Wir haben uns entschieden, in diesem Fall eine Person zu nennen, um klarzustellen, dass es Cyberkriminellen nicht erlaubt sein wird, sich hinter der Anonymität des Internets zu verstecken, um ihre Verbrechen zu begehen“, zitierte Forbes Microsoft.
