Ramnit conseguiu controlar 100 mil dispositvos

Vírus Ramnit nos dispositivos

O vírus Ramnit, que detetado em 2011, tem uma nova forma e até agora mais de 100 mil dispositivos foram controlados. O malware é uma sofisticada ferramenta com funções de um rootkit. Não é detetável pelos antivírus, e acontece por inserção na web e pela utilização de comunicações encriptadas. Foi aconselhado que os utilizadores e as empresas tomem mais precauções perante este possível ataque de grande escala dos criadores do vírus.




Como são estes Ciberataques

O Ramnit é um worm que foi detetado pela primeira vez em 2011 e que afeta os sistemas operativos Windows. Já foi utilizado para a realização de atividades criminosas, como por exemplo:

  • A monitorização da navegação web do sistema infetado e detetar visitas a páginas de banca online.
  • Manipulação de páginas web de bancos com o objetivo de parecerem legítimas
  • Roubo de cookies de sessão de browsers para poder substituir a vítima em sites seguros.
  • Monitorização dos discos rígidos do computador, assim como roubar ficheiros com palavras chave (como passwords)
  • Acesso de forma remota aos computadores afetados.
  • Recompilação das credenciais de acesso de clientes FTP.

Os investigadores da Check Point continuam a monitorizar a campanha. Até agora foi encontrado um novo botnet.

“Black”, o novo botnet do Ramnit

O trojan Ramnit faz com que os dispositivos infetados operem como um botnet altamente centralizado, mesmo que a sua arquitetura implique uma divisão noutras redes independentes.

Recentemente, foi encontrado um servidor do Ramnit que não está relacionado com o “Demetra”, o botnet que foi mais utilizado pelo worm. De acordo com os nomes do domínio em que é resolvida a direção do IP do servidor, este pretende controlar, também, os bots que foram detetados pela primeira vez em 2015.

Este servidor está ativo desde 6 de março de 2018, mas só chamou a atenção entre maio e julho quando cerca de 100mil computadores foram infetados.

Este botnet tem características distintas, como por exemplo:

  • Muitas amostras utilizam nomes de domínios codificados em vez do DGA (Algoritmo de Geração de Domínios).
  • O servidor não carrega módulos como o VNC e rouba passwords ou efetua FtpGrabber.
  • Os módulos adicionais (FTPServer, WebInjects) estão integrados num kit de Ramnit.
  • O Ramnit é utilizado como instalador de outro malware com o nome de Ngioweb.

A Check Point já detetou sinais do Ngioweb inseridas no Ramnit em ataques binários que provavelmente foram difundidos como campanhas de spam. No entanto, o Ngioweb é distribuído principalmente através do botnet “Black”.

Análise do Malware

O vírus cria uma cadeia de processos para inserir o código nos dispositivos. Em primeiro lugar, insere um código no processo recém-criado ao utilizar uma técnica de esvaziamento dos processos (“process hollowing”). Depois, o malware recorre a uma aplicação predeterminada para abrir ficheiro com a extensão .html, e realiza as principais ações maliciosas.

Artigo anteriorPróximo artigo
Nilton é um entusiasta das novas tendências tecnológicas e do impacto que estas têm nas organizações e no nosso dia a dia.

Deixe uma resposta

O seu endereço de email não será publicado. Campos obrigatórios marcados com *

Este site utiliza o Akismet para reduzir spam. Fica a saber como são processados os dados dos comentários.