Ramnit, botnet abbattuta

La collaborazione su scala internazionale delle forze dell’ordine di Italia, Paesi Bassi, Regno Unito e Francia, coordinata dallo European Cybercrime Centre (EC3) dell’Europol e guidata da soggetti privati quali Microsoft, Symantec e AnubisNetworks, ha condotto all’abbattimento della botnet Ramnit, una rete di PC zombie che nel giro di cinque anni ha finito per coinvolgere 3,2 milioni di macchine Windows.

I sette server che impartivano gli ordini ai computer delle vittime sono stati sequestrati, ora sotto analisi per le indagini delle forze dell’ordine per l’individuazione dei responsabili della rete di cybercriminali.

Riguardo al codice dell’infezione, pochi sono gli elementi ancora da scoprire: individuato per la prima volta nel 2010, Ramnit nasce come worm capace di diffondersi con i classici vettori degli allegati email e viene dapprima utilizzato per la trasformazione del numero più alto possibile di macchine in bot. Progressivamente il malware è mutato, con lo scopo di cominciare a sfruttare la botnet, oltre che costruirla: “Una volta acquisito il pieno controllo da remoto dei computer infettati dal virus malevolo (malware) – conferma la Polizia Postale e delle Comunicazioni italiana – i cyber criminali sottraevano informazioni relative ad account bancari, password di accesso alla posta elettronica nonché credenziali dei più noti social network”.

Con l’obiettivo di individuare queste credenziali da mettere a frutto, il malware si è dotato di differenti moduli e funzioni distribuiti progressivamente dagli amministratori dei centri di comando e controllo, anche presi in prestito dal noto trojan Zeus. Le funzioni a disposizione dei cybercriminali andavano dal monitoraggio delle informazioni inserite dagli utenti in certi siti bancari alle web injection per modificare le pagine di detti siti e richiedere dati aggiuntivi, dal rastrellamento dei cookie, sfruttabili per autenticarsi a nome dell’utente, alla scansione di certe directory dei PC che sogliono ospitare dati sensibili, passando per l’appropriazione delle credenziali dalle applicazioni FTP al fine di propagare l’infezione attraverso i file condivisi.

L’insidioso malware, pensato per sfuggire agli antivirus e far passare inosservato ai firewall il traffico di dati scambiato, è removibile con gli strumenti messi a disposizione da Microsoft e Symantec

Gaia Bottà