Im Kampf gegen Schadsoftware geht Microsoft neue Wege. Wie heute aus Redmond verlautbart wurde, ist es gelungen ein großes kriminelles Botnet mit dem Namen ZLoader nachhaltig zu stören. ZLoader verwendet unter anderem XML-Makros als Angriffstool. Neben technischen und juristischen Schritten gegen dieses Botnet geht Microsoft aber noch einen Schritt weiter.
Der Mann hinter ZLoader
Microsoft hat sich dazu entschlossen explizit einen der Köpfe zu benennen der für die Programmierung und damit Verteilung von Ransomware verantwortlich ist. Es handelt sich hierbei um Denis Malikov, dieser ist in Simferopol auf der Halbinsel Krim beheimatet. Dieser Name wurde im Zuge der Untersuchungen von Microsoft aufgedeckt und in Redmond ist man der Ansicht das man mit der Nennung ein klares Zeichen an kriminelle Netzwerke sendet, dass man sich auf Dauer nicht hinter der Maske der digitalen Anonymität verstecken kann.
Darüber hinaus hat Microsoft mittels einer gerichtlichen Verfügung die Kontrolle über 65 Domains übernommen, welche dazu verwendet wurden, das Botnet weiter auszubauen. Normalerweise verwenden Botnetzwerke infizierte Computer die Krankenhäusern, Schulen aber auch Privatpersonen und Unternehmen weltweit gehören. Microsoft sagte dazu in einem Statement:
The domains are now directed to a Microsoft sinkhole where they can no longer be used by the botnet’s criminal operators. Zloader contains a domain generation algorithm (DGA) embedded within the malware that creates additional domains as a fallback or backup communication channel for the botnet. In addition to the hardcoded domains, the court order allows us to take control of an additional 319 currently registered DGA domains. We are also working to block the future registration of DGA domains.
Die Domains werden nun an ein Microsoft-Sinkhole geleitet, wo sie von den kriminellen Betreibern des Botnetzes nicht mehr verwendet werden können. Zloader enthält einen in die Malware eingebetteten Domänengenerierungsalgorithmus (DGA), der zusätzliche Domänen als Fallback oder Backup-Kommunikationskanal für das Botnet erstellt. Zusätzlich zu den fest codierten Domains erlaubt uns der Gerichtsbeschluss, die Kontrolle über weitere 319 derzeit registrierte DGA-Domains zu übernehmen. Wir arbeiten auch daran, die zukünftige Registrierung von DGA-Domains zu blockieren.
Ursprünglich, so Microsofts General Manager for the Digital Crimes Unit (DCU) Amy Hogan-Burney, wurde ZLoader für den Diebstahl von Finanzen und Zugangscodes entwickelt. Inzwischen aber wird auch Malware-as-a-Service angeboten um Ransomware wie Ryuk zu vertreiben welche Gesundheitseinrichtungen als Ziel hat.
Die DCU erwähnte außerdem lobend die gute Zusammenarbeit mit anderen Unternehmen wie ESET, Black Lotus Labs, Palo Alto Networks Unit 42, Avast, Microsoft Defender, and Microsoft Threat Intelligence Center bei diesem Unterfangen.
Zwar hat man hier durchaus einen Sieg errungen und die Aktivitäten von ZLoader nachhaltig gestört dennoch geht man davon aus das man versuchen wird das kriminelle Botnetzwerk wieder aufzubauen. Microfoft wir die Aktivitäten dieser Gruppe genau beobachten und hofft das man dank neuester technologischer Mittel aber auch dank der Abschreckung durch Namensnennung beteiligte Personen wird abschrecken können.
Ja ja die bösen Russen.