cerrar-sesion editar-perfil marker video calendario monitor periodico fax rss twitter facebook google-plus linkedin alarma circulo-derecha abajo derecha izquierda mover-vertical candado usuario email lupa exito mapa email2 telefono etiqueta

El virus Ramnit ya controla más de 100.000 dispositivos

Escrito por Redacción Byte TI el 4 septiembre, 2018 en Seguridad
1 comentario Haz tu comentario
Imagen de logotipo de facebook Imagen de logotipo de Twitter Imagen de Logotipo de Google+ Imagen de logotipo de Linkedin

Check Point ha informado sobre una nueva campaña masiva del malware Ramnit, que ya cuenta con más de 100.000 dispositivos infectados. Usuarios y empresas deben tomar precauciones ante una posible operación a gran escala de los creadores del virus.

Este malware es una herramienta avanzada para cibercriminales con funcionalidades de rootkit. Los antivirus no lo detectan, cuenta con inyección Web y uso de comunicaciones cifradas con el centro de Comando y Control.

Ramnit es un gusano detectado por primera vez en 2011 que afecta a sistemas operativos Windows

Ramnit es un gusano detectado por primera vez en 2011 que afecta a sistemas operativos Windows. Se ha utilizado para realizar actividades criminales, entre las que se pueden destacar:

  • Monitorización de la navegación web del sistema infectado y detección de la visita de sitios de banca online
  • Manipulación de webs de banca online con el objetivo de parecer legítimas
  • Robo de cookies de sesión de los navegadores web para poder suplantar a la víctima en sitios seguros
  • Escaneo de los discos duros del ordenador, así como robo de archivos en base a palabras clave (como contraseñas)
  • Acceso de forma remota a los ordenadores afectados
  • Recopilación de las credenciales de acceso de clientes FTP

Los profesionales de Check Point continúan monitorizando esta campaña. Hasta el momento, estos son sus hallazgos:

“Black”, la nueva botnet de Ramnit

El troyano Ramnit hace que los equipos infectados operen como una botnet altamente centralizada, aunque su arquitectura implica la división en otras redes independientes.

Recientemente fue descubierto un servidor de Ramnit que no está relacionado con “Demetra”, la botnet anteriormente más utilizada por el gusano. Según los nombres del dominio que se resuelven en la dirección IP de este servidor, pretende controlar también los bots antiguos, que se vieron por primera vez en 2015.

Este servidor ha estado activo desde el 6 de marzo de 2018 pero no ha llamado la atención hasta ahora debido a que entre mayo y julio infectó a cerca de 100.000 ordenadores.

Hay varias características de esta botnet:

  • Muchas muestras usan nombres de dominio codificados en lugar de DGA (Algoritmo de Generación de Dominios)
  • El servidor no carga módulos como VNC, robo de contraseñas o FtpGrabber
  • Los módulos adicionales (FTPServer, WebInjects) están integrados en un paquete con Ramnit
  • Ramnit se usa como instalador de otro malware llamado Ngioweb

Check Point ha detectado muestras de Ngioweb incluidas en Ramnit en ataques binarios que probablemente se hayan difundido en campañas de spam. Sin embargo, Ngioweb se distribuye principalmente a través de la botnet “Black”

Análisis del Malware

El virus crea una cadena de procesos para inyectar su código en los dispositivos objetivo. En primer lugar, inyecta su código en el proceso recién creado utilizando una técnica de vaciado de procesos (“process hollowing”). A continuación, el malware recurre a una aplicación predeterminada para abrir archivos con la extensión .html, y realiza las principales acciones maliciosas.

Compártelo

Noticias relacionadas

Escrito por Redacción Byte TI el 3 octubre, 2018 en Seguridad

Los ataques móviles, una tendencia al alza

Escrito por Redacción Byte TI el 24 septiembre, 2018 en Seguridad

La inversión en seguridad crece un 10% al año

Escrito por Redacción Byte TI el 22 agosto, 2018 en Seguridad

Aumentan los ataques contra el Internet de las Cosas

Comentarios
  • SEGURIDAD INFORMATICA ACTUAL 20 septiembre, 2018

    […] las principales acciones maliciosas. ______________________________________________ Tomado de:  revistabyte Se Respetan Derechos de […]

Deja un comentario

Tu dirección de correo electrónico no será publicada. Los campos necesarios están marcados *

Debes haber iniciado sesión para comentar una noticia.