Ramnit supera los 100.000 dispositivos infectados

  • Endpoint

El troyano hace que los equipos infectados operen como una botnet altamente centralizada. Ramnit cuenta con inyección Web y uso de comunicaciones cifradas con el centro de Comando y Control, y se usa como instalador de otro malware llamado Ngioweb.

También puedes leer...

DNS Security for Dummies

Diez capas de seguridad para contenedores

20 Casos de uso de CASB

Los riesgos de Blockchain

Diez consejos sobre la gestión de Bots

Investigadores de Check Point Software Technologies han detectado una nueva campaña masiva del malware Ramnit, que ya cuenta con más de 100.000 dispositivos infectados. Se trata de una herramienta avanzada para cibercriminales con funcionalidades de rootkit, lo que hace que los antivirus no lo detecten.

El troyano Ramnit, que cuenta con inyección Web y uso de comunicaciones cifradas con el centro de Comando y Control, hace que los equipos infectados operen como una botnet altamente centralizada, aunque su arquitectura implica la división en otras redes independientes.

El virus crea una cadena de procesos para inyectar su código en los dispositivos objetivo. En primer lugar, inyecta su código en el proceso recién creado utilizando una técnica de vaciado de procesos (“process hollowing”). A continuación, el malware recurre a una aplicación predeterminada para abrir archivos con la extensión .html, y realiza las principales acciones maliciosas.

Ayúdanos a conocer cuáles son las tendencias tecnológicas que se impondrán en la empresa el próximo año y más allá, y cómo se está construyendo el futuro digital.

Recientemente se ha descubierto un servidor de Ramnit que no está relacionado con la botnet Demetra y que pretende controlar también los bots antiguos. Este servidor ha estado activo desde el 6 de marzo de 2018, pero no ha llamado la atención hasta ahora, debido a que entre mayo y julio infectó a cerca de 100.000 ordenadores.

La botnet, bautizada como black, sirve como canal de distribución de otro malware llamado Ngioweb. El servidor no carga módulos como VNC, robo de contraseñas o FtpGrabber. Los módulos adicionales (FTPServer, WebInjects) están integrados en un paquete con Ramnit, que a su vez se usa como instalador de Ngioweb.