Safeway – Equipe SOC
Uma nova campanha envolvendo o botnet Ramnit infectou mais de 100 mil computadores em um período de dois meses e pode prenunciar um ataque cibercriminoso ainda maior.
De acordo com a Check Point Research, os agentes de ameaças lançaram uma série global de ataques como parte de uma operação de codinome “Black”, provavelmente a partir de maio.
O Ramnit está em operação desde 2010 e é bem conhecido como um Trojan bancário. Seu uso na operação Black inclui a criação de um backdoor em máquinas infectadas e a extração de informações delas. Uma vez instalado, o malware oferece um ponto de entrada para outra botnet, a Ngioweb, que pode operar em ambos como um regular back-connect proxy e relay proxy mode.
Mais proxies, mais problemas
Embora o Ramnit possa estar agindo essencialmente como um mecanismo de distribuição para o Ngioweb, o resultado final pode ser cadeias de servidores proxy. Isso permite que os agentes de ameaças tornem mais difícil para os defensores ver que tipo de serviços eles estão executando porque estão ocultos por trás do endereço IP de um bot. Quanto maior esse grupo de botnets se tornar, mais prontamente ele poderia ser usado para todos os tipos de propósitos nefastos, de acordo com os pesquisadores.
Ao publicar a máquina da vítima em um canal público como o Sistema de Nomes de Domínio (DNS), por exemplo, um invasor pode se conectar a uma segunda máquina infectada por meio do modo de proxy de retransmissão. A primeira máquina infectada se torna o relé entre a segunda máquina e o host, criando uma nova conexão e assim por diante. A complexidade dessa abordagem não apenas mantém as atividades dos invasores ocultas, mas também permite que ela se torne rapidamente mais poderosa.
Como se defender contra o Ramnit desde o primeiro estágio
Como o Ramnit é considerado o malware de primeira fase na operação Black, os profissionais de segurança devem começar por aí quando se trata de prevenção. Em conformidade com a estrutura de preparação de ataques cibernéticos do IBM® X-Force Incident Response e Intelligence Services (IRIS), as equipes de segurança devem determinar quais usuários são mais ativos em páginas da Web voltadas ao cliente para estabelecer uma linha de base de comportamento normal, facilitando a detecção de anormalidades anteriormente.
Os diretores de segurança da informação (CISOs) e suas equipes também devem estar atentos às tentativas dos invasores de mapear diretórios de páginas da Web e sequências de usuários suspeitos para fechar quaisquer vulnerabilidades de entrada. Dessa forma, no momento em que alguém deixar Ramnit entrar, ainda pode haver tempo para impedir Ngioweb de seguir de perto.
Fonte: Check Point Research
