A botnet Ramnit é atualmente uma das quatro ameaças mais ativas da América Latina, com mais de 180 mil detecções durante os primeiros três meses deste ano, de acordo com os sistemas de telemetria da ESET. Os pesquisadores de segurança da empresa de detecção proativa de ameaças destacam a capacidade da botnet de infectar dispositivos e se espalhar rapidamente, bem como a sofisticação das técnicas que implementa, o que faz dela uma das redes de bot mais perigosas e persistentes da atualidade.
A Ramnit se espalha principalmente por meio do download de arquivos maliciosos que geralmente são distribuídos através de e-mails falsos, bem como sites fraudulentos ou comprometidos. Uma vez instalado no sistema, ela é configurada para sempre ser executada na inicialização do Windows, modificando as chaves do “Registro”. Em seguida, ela vasculha o sistema procurando roubar credenciais bancárias, senhas e outras informações financeiras valiosas.
Uma botnet é a combinação das palavras “robô” e “rede” e se trata de um software malicioso que pode ser controlado por um invasor remotamente. Ou seja, um invasor pode executar diferentes ações em um dispositivo infectado por meio de instruções enviadas por um ator a distância. “A Ramnit ficou conhecida em 2010 devido à sua alta capacidade de infecção e disseminação. Embora a sua atividade tenha diminuído após o desmantelamento da sua infraestrutura em 2015, um ano depois começou a recuperar e não só regressou ao top 5 de trojans do mercado, como se manteve em atividade até agora”, afirma Martina Lopez, pesquisadora de segurança da informação da ESET.
Além disso, uma variante da Ramnit aponta para o sequestro de contas de redes sociais, buscando obter credenciais de acesso a contas como Facebook, Twitter e outras plataformas sociais. Quando um invasor tem acesso a uma conta de mídia social, ele pode enviar mensagens de spam, espalhar malware e executar outras atividades maliciosas.
Como a bonet se prolifera
Geralmente, a botnet Ramnit se prolifera por meio de e-mails fraudulentos, nos quais se passa por diferentes organizações, desde instituições de caridade, empresas globais privadas, como a Amazon, até entidades bancárias e provedores de e-mail próprios do destinatário, como a Microsoft.
Dentro dessas mensagens, os cibercriminosos geralmente anexam links ou arquivos maliciosos — geralmente no formato Word ou Excel — que hospedam ou contêm o malware. E no corpo do e-mail, eles instruem a vítima a baixar e executar a ameaça.
Veja isso
Campanha do Qbot usa malware para sequestrar e-mail comercial
Nova botnet pode lançar ataques DDoS massivos de 3.3 Tbps
Como saber se o computador está infectado
A equipe de pesquisa da ESET afirma que, embora seja um desafio identificar esse tipo de infecção — já que o malware é projetado para operar em segundo plano e evitar a detecção, existem alguns sinais que podem indicar a presença desse programa malicioso em um computador:
- Desempenho lento do sistema: o malware Ramnit pode diminuir o desempenho do computador usando recursos do sistema para executar atividades maliciosas de botnet;
- Alterações na página inicial do navegador: se a página inicial do navegador for alterada para um site desconhecido, pode ser um sinal de infecção;
- Comportamento incomum do sistema: se o computador começar a agir de maneiras incomuns, como abrir e fechar programas automaticamente na inicialização ou durante a operação, ou não permitir o acesso a determinados softwares, pode ser um sinal de que o sistema foi comprometido;
- Arquivos ausentes ou modificados: esse código malicioso pode roubar informações pessoais, como senhas ou dados de cartão de crédito, e pode modificar ou excluir arquivos;
- Erros inesperados ou mensagens de erro: se você receber mensagens de erro ou solicitações de acesso ou modificação, reais ou falsas, isso pode ser um sinal de comportamento incomum e suspeito.
