Pomimo licznych raportów agencji prasowych informujących o tym, że Europol przeprowadził potężną operację mającą na celu zatrzymanie działania botnetu Ramnit, analitycy Doctor Web kontynuują monitorowanie jego aktywności. Zgodnie z informacjami w mediach, specjaliści policji brytyjskiej zajmujący się zwalczaniem cyberprzestępczości, razem z ekspertami z Niemiec, Włoch i Holandii ograniczyli aktywność kilku głównych serwerów kontrolno-zarządzających botnetu Ramnit.
Zgodnie z wiadomościami prasowymi, 24 lutego 2015 serwery kontrolno-zarządzające botnetu Ramnit były wyłączone dzięki wspólnym działaniom kilku organizacji. Operacja ta zaangażowała Europejskie Centrum Zwalczania Cyberprzestępczości działające w ramach Europolu, CERT-EU, Symantec, Microsoft, AnubisNetworks i inne organizacje europejskie. Przykładowo na stronie Europolu podano, że specjaliści d/s bezpieczeństwa IT zdołali przechwycić około 300 adresów domen internetowych zawierających serwery kontrolno-zarządzające wygenerowane przez ten złośliwy program, a agencja Reuters informuje, że 7 serwerów kontrolno-zarządzających zostało wyłączonych podczas tej operacji. Zgodnie z informacją podaną przez Symantec, ta operacja dezaktywowała botnet zawierający 350 000 zarażonych urządzeń, a bazując na informacjach z Microsoftu, ich całkowita liczba mogła osiągnąć 500 000.
Analitycy bezpieczeństwa Doctor Web monitorują kilka podsieci botnetu, stworzonych przez hakerów z użyciem różnych wersji wirusa Rmnet. Tak więc, modyfikacja nazwana Win32.Rmnet.12 jest znana od września 2011. Win32.Rmnet.12 jest złożonym, wielokomponentowym wirusem zarażającym pliki, składającym się z kilku modułów. Posiada zdolność do samoreplikacji. Może wykonywać polecenia wydawane przez przestępców, osadzać treści w załadowanych stronach www (co teoretycznie pozwala cyberprzestępcom na uzyskanie dostępu do informacji o kontach bankowych ofiar), jak i wykradać „ciasteczka” i hasła zapisane w popularnych klientach FTP, takich jak Ghisler, WS FTP, CuteFTP, FlashFXP, FileZilla, Bullet Proof FTP i innych.
Późniejsza modyfikacja wirusa, Win32.Rmnet.16, różni się od swojego poprzednika kilkoma funkcjami architektury, takimi jak wykorzystywanie podpisu cyfrowego podczas wyboru serwera kontrolno-zarządzającego. Wirus jest w stanie również wykonywać komendy pobierania i uruchamiania niezależnych plików, dokonywać samoaktualizacji, wykonywać zrzuty z ekranu i wysyłać je do cyberprzestępców, jak i uczynić system operacyjny niezdolnym do dalszej pracy. Ponadto jeden z modułów potrafi unieszkodliwiać główne procesy popularnych programów antywirusowych. Tak jak jego poprzednik, Win32.Rmnet.16 potrafi modyfikować główny sektor rozruchowy (MBR) dysku i zapisywać pliki na końcu obszaru dysku w formie zaszyfrowanej.
Pomimo faktu, że liczne agencje prasowe raportowały o udanej operacji mającej na celu zablokowanie aktywności botnetu Ramnit, eksperci Doctor Web nie odnotowali żadnego spadku aktywności botnetów monitorowanych przez swoje laboratorium antywirusowe. Do tej pory analitycy bezpieczeństwa Doctor Web dowiedzieli się o przynajmniej o 12 podsieciach botnetu Ramnit, korzystających z algorytmu generowania domen serwerów kontrolno-zarządzających i o co najmniej dwóch podsieciach Win32.Rmnet.12, nie używających funkcji automatycznego generowania domen (specjaliści firmy Symantec zablokowali jedną z podsieci o inicjatorze 79159c10 należącą do pierwszej z wymienionych kategorii).
Przykładowo, dwie podsieci Win32.Rmnet.12 wciąż infekują 250 – 270 tysięcy hostów dziennie, co zostało zilustrowane poniżej:
Natomiast monitorowana przez analityków bezpieczeństwa Doctor Web podsieć wirusa Win32.Rmnet.16 wykazuje znacznie mniejszą dzienną aktywność, ale tu również nie widać „awarii” powiązanych z możliwym wyłączeniem serwerów kontrolno-zarządzających:
Podobna sytuacja ma miejsce w przypadku monitorowania komputerów zarażonych innym złośliwym modułem, znanym jako Trojan.Rmnet.19, co przedstawia poniższy wykres:
Ukazane statystyki pokazują, że organizatorzy operacji mającej na celu zniszczenie botnetu Ramnit najwyraźniej ponieśli porażkę w wyeliminowaniu wszystkich serwerów kontrolno-zarządzających tego botnetu. Co najmniej 500 000 komputerów, zarażonych różnymi modyfikacjami tego wirusa, wciąż pozostaje aktywnych i odpowiada na polecenia wydawane z ocalałych serwerów. Doctor Web będzie nadal monitorował sytuację dotyczącą tego zagrożenia.
źródło: Doctor Web
