Facebook Linkedin Twitter Instagram Youtube Telegram

El virus Ramnit ya controla más de 100.000 dispositivos

Este malware es una avanzada herramienta para cibercriminales con funcionalidades de rootkit. Los antivirus no lo detectan, cuenta con inyección web y uso de comunicaciones cifradas.

Check Point, proveedor especializado en ciberseguridad, ha informado sobre una nueva campaña masiva del malware Ramnit, que ya cuenta con más de 100.000 dispositivos infectados. Usuarios y empresas deben tomar precauciones ante una posible operación a gran escala de los creadores del virus. 

Este malware es una herramienta avanzada para cibercriminales con funcionalidades de rootkit. Los antivirus no lo detectan, cuenta con inyección Web y uso de comunicaciones cifradas con el centro de Comando y Control.

Ramnit es un gusano detectado por primera vez en 2011 que afecta a sistemas operativos Windows. Se ha utilizado para realizar actividades criminales, entre las que se pueden destacar:

  • Monitorización de la navegación web del sistema infectado y detección de la visita de sitios de banca online
  • Manipulación de webs de banca online con el objetivo de parecer legítimas
  • Robo de cookies de sesión de los navegadores web para poder suplantar a la víctima en sitios seguros
  • Escaneo de los discos duros del ordenador, así como robo de archivos en base a palabras clave (como contraseñas)
  • Acceso de forma remota a los ordenadores afectados
  • Recopilación de las credenciales de acceso de clientes FTP

Los profesionales de Check Point continúan monitorizando esta campaña. Hasta el momento, estos son sus hallazgos:

«Black», la nueva botnet de Ramnit

El troyano Ramnit hace que los equipos infectados operen como una botnet altamente centralizada, aunque su arquitectura implica la división en otras redes independientes.

Recientemente fue descubierto un servidor de Ramnit que no está relacionado con «Demetra», la botnet anteriormente más utilizada por el gusano. Según los nombres del dominio que se resuelven en la dirección IP de este servidor, pretende controlar también los bots antiguos, que se vieron por primera vez en 2015.

Este servidor ha estado activo desde el 6 de marzo de 2018 pero no ha llamado la atención hasta ahora debido a que entre mayo y julio infectó a cerca de 100.000 ordenadores.

Hay varias características de esta botnet:

  • Muchas muestras usan nombres de dominio codificados en lugar de DGA (Algoritmo de Generación de Dominios)
  • El servidor no carga módulos como VNC, robo de contraseñas o FtpGrabber
  • Los módulos adicionales (FTPServer, WebInjects) están integrados en un paquete con Ramnit
  • Ramnit se usa como instalador de otro malware llamado Ngioweb

Check Point ha detectado muestras de Ngioweb incluidas en Ramnit en ataques binarios que probablemente se hayan difundido en campañas de spam. Sin embargo, Ngioweb se distribuye principalmente a través de la botnet «Black»

Análisis del Malware

El virus crea una cadena de procesos para inyectar su código en los dispositivos objetivo. En primer lugar, inyecta su código en el proceso recién creado utilizando una técnica de vaciado de procesos (“process hollowing”). A continuación, el malware recurre a una aplicación predeterminada para abrir archivos con la extensión .html, y realiza las principales acciones maliciosas.

Picture of Vicente Ramírez

Vicente Ramírez

Graduado en Administración y Dirección de empresas, especializado en Marketing, Comunicación, Ciberderecho y Gestión de Riesgos para Ciberseguros. Director de Marketing en CyberSecurity News, Organizador de CISO Day 2019 y Administrador del grupo de LinkedIn "Eventos de Ciberseguridad España"

Deja un comentario

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

This site uses Akismet to reduce spam. Learn how your comment data is processed.

TE PUEDE GUSTAR

RECIBE LA NEWSLETTER

*Email: *Nombre apellidos: *Empresa: Cargo: Sector:

 
Please don't insert text in the box below!

ARTÍCULOS MÁS RECIENTES

ESCUCHA NUESTRO PODCAST

SÍGUENOS EN RRSS

MÁS COMENTADOS

Scroll al inicio
Powered by  GDPR Cookie Compliance
Resumen de privacidad

Las cookies y otras tecnologías similares son una parte esencial de cómo funciona nuestra web. El objetivo principal de las cookies es que tu experiencia de navegación sea más cómoda y eficiente y poder mejorar nuestros servicios y la propia web. Aquí podrás obtener toda la información sobre las cookies que utilizamos y podrás activar y/o desactivar las mismas de acuerdo con tus preferencias, salvo aquellas Cookies que son estrictamente necesarias para el funcionamiento de la web de CyberSecurityNews. Ten en cuenta que el bloqueo de algunas cookies puede afectar tu experiencia en la web y el funcionamiento de la misma. Al pulsar “Guardar cambios”, se guardará la selección de cookies que has realizado. Si no has seleccionado ninguna opción, pulsar este botón equivaldrá a rechazar todas las cookies. Para más información puedes visitar nuestra Políticas de Cookies. Podrás cambiar en cualquier momento tus preferencias de cookies pinchando en el enlace “Preferencias de cookies” situado en la parte inferior de nuestra web.