Uma operação de forças de segurança liderada pela Europol e assistida pela Symantec, Microsoft e uma série de parceiros do setor, confiscou hoje servidores e outras peças de infraestrutura do grupo cibercriminoso por trás do botnet Ramnit (detectado pela Symantec como W32.Ranmnit.B). Ele atua há pelo menos cinco anos e, neste período, se tornou uma grande iniciativa criminosa, infectando centenas de milhares de computadores e causando danos a uma quantidade enorme de vítimas. Espera-se que a operação de hoje seja um golpe significativo contra os recursos e capacidades da gangue.
O Ramnit oferece aos atacantes múltiplas formas de roubar um usuário quando seu computador for comprometido. É capaz de monitorar suas sessões de navegação na internet e roubar credenciais bancárias. Ele pode roubar cookies de sites, permitindo que os atacantes se façam passar pela vítima, peguem arquivos no disco rígido, além de dar aos atacantes acesso remoto ao computador, o que permite a extração de informações ou o download adicional de malware.
Uma ameaça em evolução
Ramnit (W32.Ramnit) começou como um worm, aparecendo pela primeira vez em 2010 e espalhando-se rapidamente, devido a táticas agressivas de auto propagação. Uma vez que comprometesse um computador e buscasse todos os arquivos EXE, DLL, HTM, e HTML no disco rígido local e quaisquer discos removíveis, tentava infectá-los com cópias de si mesmo.
Com o tempo, o malware evoluiu, conforme seus controladores pareceram mudar o foco, da construção para a exploração do botnet. A versão mais recente de Ramnit (W32.Ramnit.B) abandonou a rotina de infecção de arquivos em prol de uma série de métodos alternativos de infecção. Suas capacidades cibercriminosas foram consideravelmente fortalecidas com uma gama de módulos diferentes emprestados do Trojan Zeus (Trojan.Zbot), cujo código-fonte vazou em maio de 2011. Isso transformou o botnet Ramnit em um amplo império do cibercrime, que alcançou até 350 mil computadores comprometidos, coletando credenciais bancárias, senhas, cookies e arquivos pessoais das vítimas.
Recursos do Ramnit
O Ramnit agora é uma ferramenta plena do cibercrime, com seis padrões de módulos que oferecem aos atacantes inúmeras maneiras de comprometer um usuário.
- Módulo espião. Um dos recursos mais potentes do Ramnit, ele monitora a navegação na internet e detecta quando visita certas páginas, como sites de banking online. Ele pode se infiltrar no navegador e manipular o site do banco, fazendo com que pareça que a instituição está pedindo informações adicionais, como detalhes de cartão de crédito. Esses dados roubados podem então ser usados para fraude.
- Cookie grabber. Este recurso rouba cookies de sessões dos navegadores de internet e os enviam de volta aos atacantes, que podem utiliza-los para autenticação nos sites, fazendo-se passar pela vítima. Isso pode permitir que o atacante sequestre sessões de banking online.
- Drive scanner. Ele faz a varredura do disco rígido do computador e rouba arquivos. É configurado para buscar pastas específicas onde considera-se haver informações sensíveis, como senhas.
- Servidor FTP anônimo. Ao conectar-se a este servidor, o malware permite que os atacantes acessem remotamente o computador comprometido e naveguem pelo sistema de arquivos. Eles podem usar o servidor para carregar, baixar ou apagar arquivos e executar comandos.
- Módulo de computação de rede virtual (VNC). Ele oferece aos atacantes outra forma de obter acesso remoto ao computador.
- FTP grabber. Este recurso permite que os atacantes coletem credenciais de login para um número grande de clientes FTP.
Uma ameaça persistente
Os autores do Ramnit incorporaram uma série de recursos que dificultam seu banimento de um computador comprometido. Durante a instalação, ele coloca uma cópia de si na memória do computador, além de escrever-se no disco rígido. A cópia baseada na memória monitora ativamente o disco rígido e, se detectar que a cópia baseada no disco rígido foi removida ou colocada em quarentena, deposita outra cópia no disco rígido para manter a infecção viva.
Como o Ramnit se dissemina
As primeiras versões do Ramnit dependiam de rotinas de infecção de arquivo para se espalhar, mas os atacantes hoje exibem um alto nível de astúcia, usando uma série de táticas diferentes para comprometer as vítimas. Um de seus métodos mais recentes é através de exploit kits hospedados em sites e páginas de redes sociais comprometidos. Além disso, também foi constatado que servidores FTP públicos estavam distribuindo o malware. Outra rota possível de comprometimento é através de aplicações potencialmente indesejadas, que são instaladas inadvertidamente como parte de bundles de software de fontes menos confiáveis.
Localização das vítimas
O Ramnit afetou usuários em todo o mundo, e foram encontradas infecções na maioria dos países. Os países mais afetados recentemente foram Índia, Indonésia, Vietnã, Bangladesh, Estados Unidos e Filipinas.
Figura. Infecções por Ramnit por região [Índia, Indonésia, Vietnã, Desconhecido, Bangladesh, EUA, Filipinas, Egito, Turquia, Brasil]
Ainda que a quantidade de computadores infectados tenha diminuído com o tempo, o botnet Ramnit continua muito ativo. Por exemplo, a Symantec bloqueou uma média diária de cerca de 6.700 novas infecções em novembro de 2014. Em maio de 2014, a média diária era de 8 mil.
Mais informações
Indicadores de comprometimento para administradores de segurança e informações técnicas e mais detalhadas podem ser encontradas em nosso estudo técnico W32.Ramnit analysis
Proteção
Symantec lançou uma ferramenta que irá verificar se há infecção por Ramnit e permitir que você a remova de um computador comprometido. Visite esta página para baixar a ferramenta.
Os produtos Symantec e Norton dispõem das seguintes detecções contra o Ramnit:
Antivírus
Sistema de prevenção de intrusão
