Seguridad

Fuerte golpe de Europol a la infraestructura de la botnet Ramnit

Virus
Escrito por Marcos Merino

La coordinación de varios cuerpos policiales europeos ha permitido la incautación de parte de los servidores de una de las mayores botnets activas hoy en día.

Una operación policial coordinada a nivel internacional por Europol consiguió derribar hace unos días la mayor parte de la infraestructura de botnet Ramnit, con la participación de la policía alemana, italiana, neerlandesa y británica y con el respaldo de tecnológicas como Microsoft, Symantec y Anubis Network. Ramnit, que constituía hasta ese momento una de las mayores botnets del mundo (habiendo llegado a infectar 3,2 millones de equipos informáticos), tomaba el nombre del grupo de crackers que la puso en funcionamiento hace aproximadamente media década. Ese grupo había evolucionado hasta convertirse en un grupo criminal de gran envergadura responsable de estafar a un gran número de usuarios.

Características de Ramnit

La trayectoria del malware en que se basa (identificado por Symantec como W32.Ramnit.B) comienza en algún momento de 2010 como un gusano al uso, pero evolucionó rápidamente debido a lo que Symantec define como “técnicas agresivas de propagación”. En sus primeras versiones, este gusano trataba de infectar cualquier archivo EXE, DLL, HTML y HTM alojados en el disco duro local o unidades extraíbles… pero rápidamente empezó a diversificar sus métodos de infección, constituyendo actualmente, de hecho, una herramienta de ciberdelincuencia con hasta seis módulos estándar que proporcionan múltiples vías para comprometer un equipo:

  • Capturador de cookies: permite robar las cookies de inicio de sesión y enviarlos a los atacantes, para que puedan autenticarse en los sitios web y hacerse pasar por la víctima.
  • Módulo espía: una de las funciones más potentes de Ramnit, le permite supervisar la navegación web de la víctima, detectando cuándo se visitan determinados sitios… como, por ejemplo, bancos online. Si ha infectado el propio navegador, será posible para Ramnit manipular el sitio web de un banco para hacer que parezca que pide datos extra, como los de la tarjeta de crédito, que facilitarán el fraude.
  • Escáner de disco: este módulo escanea el disco duro del PC y está configurado para buscar y robar carpetas específicas que se consideran susceptibles de contener información confidencial, como contraseñas.
  • Servidor FTP anónimo: al conectar a este servidor, el malware permite a los atacantes acceder remotamente el ordenador comprometido y navegar por el sistema de archivos.
  • Módulo VNC: otro medio para obtener acceso remoto al ordenador de la víctima.
  • Capturador FTP: permite a los atacantes para recoger las credenciales de inicio de sesión para un gran número de clientes de FTP.

Gracias a todas estas características, Ramnit es capaz de robar cookies de sitios web, contraseñas, información personal y datos bancarios, o de monitorizar nuestras sesiones de navegación. Entre sus ‘logros’, ya en 2012 logró robar al menos 45.000 datos de inicio de sesión de Facebook.

La lucha contra las ‘botnets’

Europol y las empresas colaboradoras de la operación confían en que el golpe asestado a la organización haga descender notablemente sus actividades delictivas. En palabras del director adjunto de Europol, Wil van Gemart, “esta exitosa operación muestra la importancia de aplicar las leyes internacionales trabajando codo con codo con el sector privado para enfrentar así la amenaza global de la ciberdelincuencia. Vamos a continuar con nuestros esfuerzos para derribar botnets y perturbar las infraestructuras utilizadas para los delincuentes para llevar a cabo una gran variedad de delitos informáticos”.

Imagen | virii001 via photopin (license)

Sobre el autor de este artículo

Marcos Merino

Marcos Merino es redactor freelance y consultor de marketing 2.0. Autodidacta, con experiencia en medios (prensa escrita y radio), y responsable de comunicación online en organizaciones sin ánimo de lucro.