Il botnet Ramnit torna insidiare le banche dopo un periodo di "pausa"
Ramnit, un trojan bancario il cui botnet è sopravvissuto a un tentativo di takedown nel 2015, è rispuntano all'inizio di quest'anno più pericoloso che mai
La storia di Ramnit inizia nel 2010, anno in cui il trojan è stato rilevato, ma all’epoca era un “semplice” gregario che contribuiva a diffondere altre minacce più sofisticate. Il virus ha poi fatto carriera e adesso ruba “in proprio” credenziali bancarie, password FTP, cookie di sessioni temporanee e dati personali.
Ramnit si è rifatto vivo nel 2011 e da allora – stando alle stime di varie aziende specializzate in sicurezza informatica – si è affermato come uno dei Top 5 trojan bancari presenti sul mercato e per oltre tre/quattro anni, ha infettato un totale di 3,2 milioni di utenti. Il successo di Ramnit non è passato inosservato e – nel febbraio 2015 – l’Europol con l’aiuto di diverse agenzie delle forze dell’ordine, ISP e società di sicurezza, sono riusciti a prendere il comando e il controllo di gran numero di server utilizzati dalla botnet del trojan. Il tentativo di annientarlo completamente non è riuscito perché purtroppo alcune infrastrutture di Ramnit sono sopravvissute, e nessun dei cyber criminali è mai stato identificato e arrestato.
Il ritorno prepotente di Ramnit
I primi segnali che Ramnit stava cercando di “riorganizzarsi” è venuto alla luce nove mesi più tardi, nel novembre e dicembre 2015, quando Threatglass e IBM hanno rilevato nuove infezioni di questo malware in alcune banche in Canada, Stati Uniti, Australia e Finlandesi. Ramnit, nell’agosto del 2016, è diventato un ciclone prendendo di mira soprattutto banche del Regno Unito che gli è valso l’appellativo, da parte dei ricercatori, di Ramnit v2. Il grafico sottostante, realizzato da Trend Micro, mostra l’evoluzione di Ramnit negli ultimi due anni, tra cui un picco di attività nel maggio 2016, causato da una nuova strategia che utilizzava il malware Angler per diffondere una nuova variante di Ramnit. Non fatevi ingannare dal grafico perché questo andamento a picchi e crolli così marcati significa semplicemente che alcuni cyber criminali, durante le vacanze, si prendono una pausa.
Fonte foto: Trend MicroL’evoluzione di Ramnit negli ultimi due anni monitorata da Trend Macro
Ramnit continua a espandersi soprattutto negli States
Ramnit è tornato operativo dopo le recenti vacanze, come spiega MalwareTech, azienda specializzata in sicurezza informatica, sulla base dei dati monitorati da Bleeping computer, il loro botnet tracker. «Ramnit ha continuato a crescere per un paio di giorni dopo il picco iniziale, per poi stabilizzarsi a circa 5.500 bot on-line al giorno”, ha riferito un ricercatore di Bleeping computer e attualmente «si sta focalizzata principalmente su obiettivi negli Stati Uniti». Le stime sono anche confermate da parte di IBM X-Force. Ramnit – dopo un periodo di “oblio” è rientrato nella Top Ten dei trojan bancari più attivi piazzandosi al 5° posto nel mese di gennaio di ques’anno, appena dietro ad altri trojan nefasti come Zeus, Neverquest, Gozi, e Dridex.
Fonte foto: MalwareTechL’evoluzione di Ramnit nelle ultime tre settimane secondo il bot tracker Bleeping computer di MalwareTech
