A principios de año os informábamos del cese de la actividad de esta botnet gracias a una operación llevada a cabo por la Europol. Sin embargo, después de 10 meses de ausencia y contra todo pronóstico la botnet Ramnit está de nuevo operativa. La finalidad que persiguen los propietarios de esta no es otra que la de estafar a los usuarios.
El grupo de expertos en seguridad de la compañía IBM ha detallado que la mayoría de los responsables de la primera versión han comenzado a construir la segunda, utilizando para esto anuncios que distribuyen contenido malware. Concretamente, se ayudan de un troyano bancario para robar las credenciales de los usuarios y así vincular el equipo a la red sin que el usuario sea consciente.
Atendiendo a las estadísticas hasta que se produjo su cierre, esta era una de las redes de ordenadores zombie más poderosas, junto con otras muchas, como por ejemplo GameOver-Zeus, Neverquest (Vawtrack), o Shylock.
Según algunas informaciones procedentes del grupo de expertos en seguridad de IBM, el servidor de control de la primera versión aún se encuentra activo y enviando órdenes, sin embargo, estas no alcanzan su destino y el efecto de estas es nulo.
Hay que recordar también que junto a la Europol participaron en la operación empresas como Symantec, Microsoft o Anubis Networks, encargadas de entre otras cosas de llevar a cabo el sabotaje de las comunicaciones de la botnet.
Ramnit v2 ya está en marcha
Poco a poco el entramado de una nueva red comienza a tomar forma y podría decirse que la similitud de esta nueva versión con respecto a la primera es importante, con la única diferencia localizada por el momento en la difusión del troyano bancario.
Mientras la primera se distribuía sobre todo haciendo uso de redes compartidas y unidades de almacenamiento extraíbles, la amenaza actual se vale de los anuncios para redirigir al usuario a contenido malware y así proceder a la descarga e instalación del software necesario.
Expertos en seguridad apuntan que teniendo en cuenta que el código de esta amenaza nunca se ha distribuido en el mercado negro y se ha compartido en otros grupos, es más que probable que los propietarios de esta nueva versión sean los mismo que los de la primera.
Por el momento solo se ha visto el nacimiento de la nueva botnet, así que habrá que mantenerse expectantes para saber qué es lo que sucede en los próximos meses y si esta adquiere el mismo poder que su predecesora, algo que va a resultar todo un reto para los responsables de la misma.
Podéis ver cómo eliminar la amenaza Ramnit.