Golpe a la banda cibercriminal responsable de la botnet Ramnit
Ayudada por Symantec, Microsoft y otros partners de la industria, la Europol ha incautado gran parte de la infraestructura de la banda que hay detrás de Ramnit. Se calcula que, durante los cinco años que lleva operativa, la botnet ha infectado más de 3,2 millones de ordenadores.
- El 2,8 por ciento de los PC en España están infectados por bots
- La botnet peer-to-peer ZeroAccess vuelve con fuerza
- INTECO pone en marcha la Oficina de Seguridad del Internauta y el Servicio AntiBotnet
- Microsoft colabora con el FBI en la eliminación de la botnet Gameover Zeus
- Industria y Telefónica colaboran en la lucha contra las botnets
Una operación policial dirigida por la Europol y asistida por Symantec, Microsoft y otros partners de la industria, se ha saldado con la incautación de los servidores y otras infraestructuras propiedad del grupo cibercriminal responsable de la botnet Ramnit (detectada por Symantec como W32.Ramnit.B). El grupo ha estado en funcionamiento durante al menos cinco años, y en ese tiempo ha evolucionado hasta convertirse en una empresa criminal importante, infectando a más de 3,2 millones de ordenadores y estafando a un gran número de víctimas inocentes. Se espera que la operación constituya un golpe significativo a los recursos y capacidades de la banda.
Ramnit comenzó su vida como un gusano, que apareció por primera vez en 2010 y se extendió rápidamente utilizando agresivas tácticas de propagación. Una vez que comprometía un equipo buscaba a todos los archivos EXE, DLL, HTM y HTML del disco duro local y de las unidades extraíbles y trataba de infectarlos con copias de sí mismo. Con el tiempo, el malware ha evolucionado, a medida que sus controladores parecían cambiar su enfoque de la construcción de la botnet a su explotación. La versión más reciente de Ramnit ha abandonado el proceso de infección de archivos a favor de una serie de métodos de infección alternativos, un desarrollo que ha transformado la botnet en un imperio del cibercrimen, que abarca hasta 350.000 PC infectados en la actualidad, y el robo de millones de credenciales bancarias, contraseñas, cookies y archivos personales de las víctimas.
Los autores de Ramnit también utilizan diferentes tácticas para comprometer víctimas, entre ellos el uso de exploit kits alojados en redes sociales y sitios web comprometidos. Otras vías de distribución del malware son los servidores FTP públicos y la instalación de aplicaciones no deseadas.
Para dificultar su eliminación del PC comprometido, sus autores han incorporado nuevas prestaciones. Por ejemplo, durante su instalación, Ramnit deja una copia de sí mismo en la memoria del ordenador y se rescribe a sí mismo en el disco duro. La copia en la memoria supervisa activamente el disco duro y, si detecta que la copia en el disco duro es eliminada o puesta en cuarentena, dejará otra copia en el disco duro para mantener viva la infección.
