Le botnet ZLoader a été interrompu après que le tribunal américain du district nord de Géorgie a rendu une ordonnance permettant à Microsoft de prendre le contrôle de 65 domaines que les acteurs de la menace utilisaient pour contrôler, développer et communiquer avec son botnet.
L’action en justice était le résultat d’une enquête menée depuis plusieurs mois par l’unité des crimes numériques (Digital Crimes Unit) de Microsoft en partenariat avec ESET, Black Lotus Labs, Palo Alto Networks, Health-ISAC (Health Information Sharing and Analysis Center) et Financial Services-ISAC (Financial Services Information Sharing and Analysis Centers).
ZLoader, la plateforme qui distribue Ryuk
ZLoader était exploité par un réseau criminel spécialiste des logiciels malveillants en tant que service. Objectif initial : le vol financier, de données et d’informations d’identification. « Zloader comprenait également un composant qui désactivait les logiciels de sécurité et antivirus populaires, empêchant ainsi les victimes de détecter l’infection ZLoader« , a précisé Amy Hogan-Burney, directrice générale de l’unité des crimes numériques de Microsoft. Le groupe a ensuite proposé l’infrastructure en tant que plateforme de malwares as a service pour distribuer des ransomwares, comme Ryuk.
Ryuk a notoirement ciblé le secteur de la santé en 2019 et 2020. L’attaque de Ryuk contre Universal Health Services (UHS), un grand groupe hospitalier aux Etats-Unis en 2020 a touché 400 de ses établissements de santé et a coûté plus de 67 millions de dollars en coûts de récupération et en perte de revenus. En France, le centre hospitalier de Villefranche-sur-Saône, notamment, en avait été la victime.
Les domaines sont désormais dirigés vers un « gouffre »
Avec son action en justice, les domaines sont désormais dirigés vers un « gouffre » (sinkhole) Microsoft et ne peuvent plus être exploités par les opérateurs ZLoader. L’ordonnance du tribunal permet également à Microsoft de reprendre 319 autres noms de domaines associés à l’algorithme générateur de noms de domaine qui était intégré au logiciel malveillant. La société travaille avec le registre de domaines VeriSign pour arrêter les enregistrements supplémentaires à l’avenir.
Cette action vise « à désactiver l’infrastructure de ZLoader et à rendre plus difficile la tâche de ce gang criminel organisé« , a précisé Amy Hogan-Burney qui s’attend néanmoins à ce que le groupe tente « de relancer les opérations de Zloader.« L’enquête a également identifié l’un des auteurs d’un composant utilisé par le botnet pour distribuer des rançongiciels, Denis Malikov, qui vit à Simferopol dans la République de Crimée. Microsoft s’est fait un devoir de nommer l’attaquant « pour indiquer clairement que les cybercriminels ne seront pas autorisés à se cacher derrière l’anonymat d’Internet pour commettre leurs crimes« .
Il faut préciser que l’enquête a démarré plusieurs mois avant le conflit entre l’Ukraine et la Russie.
