El malware Ramnit se vale de la botnet Black para propagarse

  • Endpoint

En la operación Black, el malware Ramnit, que probablemente se distribuye mediante campañas de spam, es simplemente un malware de primera etapa, que abre el camino para un malware proxy llamado Ngioweb. Podría ser el anticipo de una operación más grande.

También puedes leer...

DNS Security for Dummies

Diez capas de seguridad para contenedores

20 Casos de uso de CASB

Los riesgos de Blockchain

Diez consejos sobre la gestión de Bots

La campaña botnet "Black" recientemente descubierta utilizando el malware Ramnit, acumuló 100.000 infecciones en los dos meses hasta julio, pero la ofensiva podría ser solo un precursor de un ataque mucho más grande que se avecina, según los investigadores, gracias a un malware de segunda etapa llamado Ngioweb.

Check Point Research señala que los atacantes que hay detrás de la botnet Black están trabajando principalmente en la creación de una red de servidores proxy maliciosos; máquinas infectadas que en conjunto operan como una botnet altamente centralizada, "aunque su arquitectura implica la división en botnets independientes".

En la operación Black, el malware Ramnit, que probablemente se distribuye a través de campañas de spam, es simplemente un malware de primera etapa. Ramnit posee amplias capacidades de exfiltración de información derivadas de su herencia como troyano bancario; pero también backdoors de máquinas infectadas. En este caso, establece una ruta para un malware llamado Ngioweb, marcando un nuevo capítulo para el antiguo código, visto por primera vez en 2010.

"Ngioweb representa un servidor proxy multifuncional que utiliza su propio protocolo binario con dos capas de cifrado", explican los investigadores de Check Point en un análisis de la campaña. "El malware proxy admite el modo de conexión de respaldo, modo de retransmisión, protocolos IPv4, IPv6, TCP y transportes UDP, con las primeras muestras vistas en la segunda mitad de 2017".

La preocupación es que entre los dos malwares, los operadores están construyendo una gran botnet proxy multipropósito que podría ponerse en acción para cualquier propósito nefasto, desde difundir criptominería, ransomware u otro malware, hasta DDoS y la exfiltración de información. "Esta nueva campaña masiva en realidad se puede usar para muchas cosas, pero nuestra creencia actual es que esto es solo la punta del iceberg, y es una señal de advertencia de una operación más grande que los operadores de Ramnit están cocinando para nosotros", apuntan los investigadores.

TAGS Malware, Botnet