Endpoint Protection

Cibercriminales del grupo Ramnit reciben un fuerte golpe tras operación policiaca a gran escala 

02-25-2015 05:30 AM

ramnit-header-image.jpg

 

Una operación policiaca liderada por la Europol y apoyada por Symantec, Microsoft y otros socios de la industria, incautó servidores e infraestructura perteneciente al grupo de cibercrimen que se encuentra detrás del botnet Ramnit (detectado por Symantec como W32.Ramnit.B). Este grupo ha operado por aproximadamente cinco años y en este lapso ha evolucionado hacia una organización criminal importante, infectando a más de 3.2 millones de computadoras y defraudando a un gran número de víctimas inocentes. Se espera que esta operación represente un fuerte golpe contra los recursos y capacidades de la banda.

 

Ramnit ofrece a los agresores diversas maneras para defraudar a una víctima cuando su computadora ha sido afectada. Tiene la capacidad de monitorear sus sesiones de navegación en la red y extraer credenciales bancarias. Además puede robar cookies de los sitios web, para hacerse pasar por la víctima, extraer archivos del disco duro y dar acceso remoto a los atacantes para ingresar al equipo, permitiendo así filtrar información robada o descargar código malicioso adicional.

 

Una amenaza en evolución

Ramnit (W32.Ramnit) inició como un gusano que apareció por primera vez en 2010 y se diseminó rápidamente debido a su agresiva capacidad de autopropagación. Una vez que comprometía a un equipo buscaba todos los archivos EXE, DLL, HTM y HTML en el disco duro local y otros dispositivos removibles, intentando infectarlos al crear copias de sí mismo.

A través del tiempo, este malware evolucionó y sus administradores se enfocaron en aprovechar sus características para aprovechar la botnet. La versión más reciente de Ramnit (W32.Ramnit.B) ha dejado atrás la rutina original de infección de archivos para lograr una amplia gama de métodos alternativos de ataque. Sus capacidades para apoyar al cibercrimen fueron impulsadas gracias a diferentes módulos que son tomados del Troyano Zeus (Trojan.Zbot), cuyo código fuente fue filtrado en mayo de 2011. Este desarrollo transformó al botnet Ramnit en un gran imperio del cibercrimen, alcanzando más de 350,000 computadoras infectadas, recopilando credenciales bancarias, contraseñas, cookies y archivos personales de las víctimas.

 

Características de Ramnit

Hoy Ramnit se ha convertido en una herramienta integral para el cibercrimen, con seis módulos estándar que ofrecen a los atacantes diversas alternativas para comprometer a una víctima.

  1. Módulo espía. Es una de las características más poderosas de Ramnit. Monitorea la navegación web de la víctima y detecta cuando visita ciertas páginas, como sitios bancarios. Puede inyectarse por sí mismo en el navegador y manipular el sitio del banco, haciendo parecer que la institución solicita a la víctima credenciales adicionales, como datos de tarjetas de crédito. La información robada puede facilitar el fraude.
  2. Recopilador de cookies. Esta característica extrae cookies de la sesión a través de navegadores web y las envía a los atacantes, quienes pueden usar los datos para autenticarse en sitios haciéndose pasar por la víctima. Esto puede permitir que los criminales secuestren sesiones bancarias en línea.
  3. Escáner del disco. Esta capacidad escanea el disco duro de la computadora y extrae archivos. Está configurada para buscar en carpetas específicas que pueden llegar a contener información sensible, como contraseñas.
  4. Servidor FTP anónimo. Al conectar el equipo a este servidor, el código malicioso permite a los atacantes acceder de manera remota a la computadora comprometida y navegar por el sistema de archivos. Pueden utilizar al servidor para descargar, alojar, borrar archivos y ejecutar comandos.
  5. Módulo de red virtual (VNC). Ofrece a los agresores otras alternativas para obtener acceso remoto al equipo.
  6. Capturador FTP. Esta característica permite a los criminales obtener credenciales para acceder a un gran número de clientes FTP.

 

Una amenaza persistente

Los creadores de Ramnit han incorporado un gran número de características que dificultan su eliminación de una computadora comprometida. Durante la instalación, coloca una copia de sí mismo en la memoria del equipo y se auto escribe en el disco duro. La copia basada en la memoria monitorea activamente el disco duro y si detecta que la reproducción en el disco duro ha sido eliminada o enviada a cuarentena, colocará una nueva copia en el disco duro para mantener activa la infección.

 

¿Cómo se propaga Ramnit?

Para propagarse, las primeras versiones de Ramnit se basaban en rutinas de infección de archivos. Actualmente los criminales cuentan con importantes recursos y utilizan diferentes tácticas para atacar a sus víctimas. Uno de los métodos más recientes ha sido detonar paquetes que se almacenan en sitios web comprometidos y páginas de las redes sociales. Además, se ha encontrado que servidores FTP públicos distribuyen el malware. Otra posible ruta de ataque ha sido mediante aplicaciones no deseadas, que se instalan de manera inadvertida como parte de los bundles de programas (software) que provienen de fuentes poco confiables.

 

Ubicación de las víctimas

Ramnit ha afectado víctimas en todo el mundo y las infecciones se han detectado en la mayoría de los países. Recientemente los países más afectados por este malware han sido India, Indonesia, Vietnam, Bangladesh, los Estados Unidos y Filipinas.

3730198_Ramnit_Locations.png

Imagen. Infecciones de Ramnit por región.

A pesar de que la cantidad de computadoras infectadas ha disminuido, el botnet Ramnit continúa sumamente activo. Por ejemplo, Symantec bloqueó un promedio diario de 6,700 nuevas infecciones en noviembre de 2014. Esta cifra es menor al promedio de 8,000 que se presentó en mayo de 2014.

 

Información adicional

Los indicadores de compromiso para los administradores de seguridad, así como información técnica y más detallada se puede consultar en el siguiente whitepaper: W32.Ramnit analysis

 

Protección

Symantec ha desarrollado una herramienta que localiza una infección Ramnit, que permite eliminarla de una computadora afectada. Visita esta página para descargar la herramienta.

Los productos Symantec y Norton cuentan con las siguientes detecciones para Ramnit:

 

Antivirus

 

Sistema de prevención de intrusiones

ramnit-infographic.png

Statistics
0 Favorited
0 Views
0 Files
0 Shares
0 Downloads

Tags and Keywords

Related Entries and Links

No Related Resource entered.