ΑρχικήsecurityΤο Ramnit Botnet επιστρέφει μετά από δέκα μήνες απουσίας!

Το Ramnit Botnet επιστρέφει μετά από δέκα μήνες απουσίας!

Στο τέλος του Φεβρουαρίου 2015, η Europol, σε συνεργασία με πολλούς προμηθευτές ασφαλείας «βύθισε» τους C&C servers του Ramnit botnet, που χρησιμοποιούνταν για οικονομική απάτη.

Τώρα, δέκα χρόνια αργότερα, η Χ-Force Threat Intelligence της IBM αναφέρει ότι η κυβερνο συμμορία πίσω από το πρώτο botnet έχει αρχίσει σιγά-σιγά μια δεύτερη εκδοχή του botnet, χρησιμοποιώντας κακόβουλες διαφημίσεις για να μολύνει τους χρήστες με τα τραπεζικά trojan του.

Το Ramnit Botnet επιστρέφει μετά από δέκα μήνες απουσίας!

Το Ramnit έκανε το ντεμπούτο της στη σκηνή του εγκλήματος στον κυβερνοχώρο το 2010 και σιγά-σιγά μεγάλωσε, μέχρι που έφτασε να είναι το τέταρτο μεγαλύτερο botnet οικονομικής απάτης στο τέλος του 2014, πίσω από τα GameOver Zeus, Neverquest (Vawtrack) και Shylock.

Κυρίως απευθυνόμενο σε χρήστες σε Αγγλόφωνες χώρες όπως οι ΗΠΑ, η Αυστραλία και το Ηνωμένο Βασίλειο, το botnet βρέθηκε γρήγορα στο ραντάρ των εταιρειών ασφάλειας στον κυβερνοχώρο, όπως η Microsoft, η Symantec και η AnubisNetworks, η οποία συνεργάστηκε με τον Ευρωπαϊκό Κέντρο για εγκλήματα στον κυβερνοχώρο της Europol (EC3) και κατάφερε να ρίξει το Ramnit σαμποτάροντας τον κεντρικό server της.

Οι ερευνητές της IBM αναφέρουν ότι ο C&C server του v1 Ramnit botnet εξακολουθεί να στέλνει οδηγίες, αλλά λόγω των προσπαθειών της Europol, οι εντολές αυτές δεν φτάνουν ποτέ σε κανέναν από τους μολυσμένους υπολογιστές.

Αλλά αυτό δεν έχει σημασία, δεδομένου ότι οι δημιουργοί του Ramnit φαίνεται να έχουν εγκαταλείψει και αυτοί το παλιό botnet για ένα νέο με βελτιωμένη λειτουργία, που τρέχει μια νέα πτυχή του Ramnit banking trojan.

Οι ειδικοί σε θέματα ασφάλειας της IBM ισχυρίζονται ότι δεν υπάρχουν τεράστιες διαφορές μεταξύ της παλαιότερης έκδοσης του Ramnit trojan και του νεότερου, εκτός από τον τρόπο μετάδοσής του.

Ενώ το Ramnit v1 banking trojan στηρίχθηκε σε αφαιρούμενους δίσκους και μετοχές δικτύου για να εξαπλωθεί σε νέα θύματα, το Ramnit botnet δεύτερης γενιάς χτίζεται χρησιμοποιώντας κακόβουλες διαφημίσεις που ανακατευθύνουν τους χρήστες σε μια σελίδα Web, όπου το Angler Exploit Kit φιλοξενείται, πληροφορία που επιβεβαιώνεται και από μια έκθεση από το Malwarefor.me από το τέλος του Νοεμβρίου.

Αυτές οι νέες εκδόσεις του Ramnit banking trojan που δουλεύουν σε μια νέα υποδομή C&C server, και όπως επισημαίνει η IBM, φαίνεται να αφορούν το πρώτο botnet τραπεζικής απάτης που ξαναέρχεται στην επιφάνεια. Αυτή εξέπληξε τους ειδικούς σε θέματα ασφάλειας, οι οποίοι μέχρι τώρα έχουν δει μόνο το spam botnet να ξαναγεννιέται, με τις ομάδες που σχετίζονται με την εγκληματικότητας στον κυβερνοχώρο και τις τραπεζικές απάτες να ικανοποιούνται με το ότι botnet τους έπεσε και τη γλίτωσαν χωρίς σύλληψη.

Επιπλέον, οι ειδικοί της IBM είπανε ότι, επειδή το πρώτο Ramnit botnet δεν έχει συνεργαστεί με άλλες ομάδες, δεν είχε ποτέ μοιραστεί τον πηγαίο κώδικά του ώστε να διαρρεύσει ή δεν υπήρξε ποτέ ως  ένα καυτό θέμα στην υπόγεια αγορά, η δεύτερη αυτή εκδοχή του τραπεζικού trojan πρέπει να αναπτύχθηκε από τους ίδιους τους ανθρώπους που έφεραν στην επιφάνεια και την πρώτη έκδοση, δεδομένου ότι είναι οι μόνοι που είχαν ποτέ πρόσβαση στον πηγαίο κώδικα.

Προηγούμενο άρθρο
Επόμενο άρθρο

Εγγραφή στο Newsletter

* indicates required

FOLLOW US

LIVE NEWS