Cómo ataca la botnet Ramnit, una de las cuatro amenazas más detectadas en América Latina

Ramnit se propaga principalmente a través de la descarga de archivos maliciosos que son distribuidos generalmente a través de correos falsos, así como sitios fraudulentos o comprometidos. Una vez instalado en el sistema, Ramnit se configura para ejecutarse siempre al inicio de Windows mediante la modificación de las claves de registro. Luego, recorre el sistema buscando robar credenciales bancarias, contraseñas y otra información financiera valiosa.

Una botnet es la combinación de las palabras “robot” y “network”, es un software malicioso que puede ser controlado por un atacante de manera remota. Es decir que un atacante puede realizar distintas acciones en un dispositivo infectado a través de instrucciones que son enviadas por un actor a distancia. “Ramnit es conocida en la década del 2010 debido a su alta capacidad de infección y propagación. Aunque su actividad disminuyó luego del desmantelamiento de su infraestructura en 2015, un año después comenzó a recuperarse y no solo volvió a ubicarse en el top 5 de troyanos en el mercado, sino que su actividad se ha mantenido hasta ahora.”, comenta Martina Lopez, Investigadora de Seguridad Informática de ESET Latinoamérica. 

Además, una variante de Ramnit, apunta al secuestro de cuentas de redes sociales, buscando hacerse con credenciales de acceso a cuentas como Facebook, Twitter y otras plataformas sociales. Una vez que un atacante tiene acceso a una cuenta de redes sociales, puede enviar mensajes de spam, propagar malware y realizar otras actividades maliciosas.

¿Cómo se propaga Ramnit?

Generalmente, a través de correos electrónicos fraudulentos. En ellos, se suplanta la identidad de distintos tipos de entidades, desde organizaciones dedicadas a caridad, compañías privadas de renombre mundial, como Amazon, pasando por entidades bancarias y hasta los mismos proveedores del correo electrónico del receptor, como Microsoft. 

Dentro de estas comunicaciones, los cibercriminales suelen adjuntar enlaces maliciosos o archivos adjuntos (generalmente en formato Word o Excel) que alojan o contienen al malware. Y en el cuerpo del correo, intiman a la víctima a descargar y ejecutar la amenaza.

¿Cómo sé si mi equipo está infectado?

El equipo de investigación de ESET señala que, si bien es un desafío identificar este tipo de infección, ya que el malware está diseñado para operar en segundo plano y evitar la detección, hay algunas señales que pueden indicar la presencia de este programa malicioso en un equipo:

• Rendimiento lento del sistema: El malware Ramnit puede ralentizar el rendimiento del equipo al usar recursos del sistema para realizar actividades maliciosas propias de una botnet.
• Cambios en la página de inicio del navegador: Si la página de inicio del navegador se cambia a un sitio web desconocido, puede ser una señal de infección.
• Comportamiento inusual del sistema: Si el equipo comienza a actuar de manera inusual, como abrir y cerrar programas automáticamente en el arranque o durante el funcionamiento, o no permite acceder a ciertas piezas de software, puede ser una señal de que el sistema ha sido comprometido.
• Archivos desaparecidos o modificados: Este código malicioso puede robar información personal, como contraseñas o datos de tarjetas de crédito, y también puede modificar o eliminar archivos.
• Errores o mensajes de error inesperados: Si surgen mensajes de error o solicitudes de acceso o modificación, sean reales o falsas, puede ser una señal de un comportamiento inusual y sospechoso.

Las medidas que recomienda ESET para protegerse contra la botnet Ramnit, son:

• Instalar y mantener actualizado un software de protección confiable