Microsoft verstoort ZLoader-botnet door honderden domeinen over te nemen

[Captain Kirk]

Microsoft is erin geslaagd om een botnet dat onder andere werd gebruikt voor het verspreiden van ransomware ernstig te verstoren. De rechter gaf het techbedrijf een bevel waarmee het bijna vierhonderd domeinen in handen kreeg die het ZLoader-botnet gebruikt voor het communiceren met besmette machines. Daarnaast heeft Microsoft een persoon geïdentificeerd die wordt verdacht van het ontwikkelen van een onderdeel van de ZLoader-malware.

De malware was oorspronkelijk ontwikkeld voor het plegen van bankfraude en het stelen van inloggegevens, wachtwoorden en andere informatie. De malware bevatte ook een onderdeel dat antivirussoftware op het systeem uitschakelde om zo detectie te voorkomen. Later werd ZLoader als een "malware as a service" gebruikt, waarbij het onder andere ransomware begon te verspreiden.

Via een gerechtelijk bevel kreeg Microsoft de controle over 65 hardcoded domeinen waarmee het botnet wordt aangestuurd, alsmede 319 domeinen die via een domain generation algorithm (DGA) worden gegeneerd. Deze domeinen fungeren als back-up als de hardcoded domeinen offline zijn. Microsoft zegt dat het ook nog via het DGA te genereren domeinen gaat blokkeren, wat moet voorkomen dat de botnetbeheerders met het botnet kunnen communiceren.

Bij de operatie werkte Microsoft met verschillende securitybedrijven samen, waaronder ESET, Black Lotus Labs, Palo Alto Networks en Avast. Volgens Microsoft is het botnet nu een slag toegebracht, maar zullen de verantwoordelijke criminelen proberen om hun activiteiten via ZLoader weer voort te zetten.

 

bron: https://www.security.nl