Des EXPERTS en cybersécurité de Microsoft, ESET, Lumen, Palo Alto Networks et d'autres sociétés se sont associés pour perturber un important botnet de distribution de logiciels malveillants.

Dans un article de blog, l'équipe de renseignement sur les menaces de Microsoft 365 Defender a déclaré que le groupe avait réussi à perturber le malware ZLoader, qui est utilisé dans le monde entier pour lancer des ransomwares et des cyberattaques similaires.

Après avoir obtenu une ordonnance du tribunal, la société a saisi 65 domaines de commande et de contrôle (C2) que le groupe ZLoader utilisait dans ses opérations.

Bloquer les futures inscriptions

« Les domaines se dirigent maintenant vers un gouffre Microsoft où ils ne peuvent plus être utilisés par les opérateurs de botnet criminels. Zloader contient un algorithme de génération de domaine (DGA) intégré dans le logiciel malveillant qui crée des domaines supplémentaires en tant que canal de communication de sauvegarde ou de sauvegarde pour le botnet », a expliqué Microsoft.

« En plus des domaines brouillés, l'ordonnance du tribunal nous permet de prendre le contrôle de 319 domaines DGA supplémentaires actuellement enregistrés. Nous nous efforçons également de bloquer les futurs enregistrements de domaines DGA.

La mauvaise nouvelle est qu'il ne s'agit probablement que d'une panne temporaire, car ZLoader est connu comme un puissant malware persistant.

Lorsqu'il est apparu pour la première fois il y a environ trois ans, ZLoader était un cheval de Troie bancaire qui permettait à ses opérateurs de voler les identifiants de connexion et d'autres données nécessaires pour accéder aux services bancaires sur le terminal compromis. Il était également capable de désactiver les logiciels antivirus populaires, restant sur les appareils beaucoup plus longtemps que les autres chevaux de Troie à l'époque.

Peu de temps après, ses créateurs ont commencé à le proposer en tant que service, et les opérateurs de rançongiciels sont devenus les clients les plus courants. Dans son rapport, Forbes rappelle que c'est le tristement célèbre rançongiciel Ryuk qui a utilisé l'infrastructure ZLoader pour lancer des attaques qui ont causé des dizaines de millions de dollars de dégâts.

Microsoft a également indiqué qu'un certain Denis Malikov, de Crimée, était l'un des créateurs de ZLoader.

"Nous avons choisi de nommer une personne dans cette affaire pour indiquer clairement que les cybercriminels ne seront pas autorisés à se cacher derrière l'anonymat d'Internet pour commettre leurs crimes", a déclaré Forbes citant Microsoft.

Share