ESET analiza la botnet Ramnit que lleva de más de 180 mil detecciones en América Latina durante los primeros tres meses de 2023. Algunas de sus actividades incluyen el robo de información financiera y el secuestro de cuentas de redes sociales.
Según los sistemas de telemetría de ESET la botnet Ramnit es en la actualidad una de las cuatro amenazas con mayor actividad en América Latina con más de 180 mil detecciones durante los primeros tres meses de 2023. Su capacidad para infectar dispositivos y propagarse rápidamente, así como la sofisticación de las técnicas que implementa, la convierten en una de las botnets más riesgosas y persistentes de la actualidad.
Ramnit se propaga principalmente a través de la descarga de archivos maliciosos que son distribuidos generalmente a través de correos falsos, así como sitios fraudulentos o comprometidos. Una vez instalado en el sistema, Ramnit se configura para ejecutarse siempre al inicio de Windows mediante la modificación de las claves de registro. Luego, recorre el sistema buscando robar credenciales bancarias, contraseñas y otra información financiera valiosa.
Una botnet es la combinación de las palabras “robot” y “network”, es un software malicioso que puede ser controlado por un atacante de manera remota. Es decir que un atacante puede realizar distintas acciones en un dispositivo infectado a través de instrucciones que son enviadas por un actor a distancia. “Ramnit es conocida en la década del 2010 debido a su alta capacidad de infección y propagación. Aunque su actividad disminuyó luego del desmantelamiento de su infraestructura en 2015, un año después comenzó a recuperarse y no solo volvió a ubicarse en el top 5 de troyanos en el mercado, sino que su actividad se ha mantenido hasta ahora.”, comenta Martina Lopez, Investigadora de Seguridad Informática de ESET Latinoamérica.
Además, una variante de Ramnit, apunta al secuestro de cuentas de redes sociales, buscando hacerse con credenciales de acceso a cuentas como Facebook, Twitter y otras plataformas sociales. Una vez que un atacante tiene acceso a una cuenta de redes sociales, puede enviar mensajes de spam, propagar malware y realizar otras actividades maliciosas.
¿Cómo se propaga Ramnit?
Generalmente, a través de correos electrónicos fraudulentos. En ellos, se suplanta la identidad de distintos tipos de entidades, desde organizaciones dedicadas a caridad, compañías privadas de renombre mundial, como Amazon, pasando por entidades bancarias y hasta los mismos proveedores del correo electrónico del receptor, como Microsoft.
Sitio referenciado en un correo electrónico de phishing que luego descargaba Ramnit. Fuente: Twitter
Dentro de estas comunicaciones, los cibercriminales suelen adjuntar enlaces maliciosos o archivos adjuntos (generalmente en formato Word o Excel) que alojan o contienen al malware. Y en el cuerpo del correo, intiman a la víctima a descargar y ejecutar la amenaza.
¿Cómo sé si mi equipo está infectado?
El equipo de investigación de ESET señala que, si bien es un desafío identificar este tipo de infección, ya que el malware está diseñado para operar en segundo plano y evitar la detección, hay algunas señales que pueden indicar la presencia de este programa malicioso en un equipo:
• Rendimiento lento del sistema: El malware Ramnit puede ralentizar el rendimiento del equipo al usar recursos del sistema para realizar actividades maliciosas propias de una botnet.
• Cambios en la página de inicio del navegador: Si la página de inicio del navegador se cambia a un sitio web desconocido, puede ser una señal de infección
• Comportamiento inusual del sistema: Si el equipo comienza a actuar de manera inusual, como abrir y cerrar programas automáticamente en el arranque o durante el funcionamiento, o no permite acceder a ciertas piezas de software, puede ser una señal de que el sistema ha sido comprometido.
• Archivos desaparecidos o modificados: Este código malicioso puede robar información personal, como contraseñas o datos de tarjetas de crédito, y también puede modificar o eliminar archivos.
• Errores o mensajes de error inesperados: Si surgen mensajes de error o solicitudes de acceso o modificación, sean reales o falsas, puede ser una señal de un comportamiento inusual y sospechoso.
Las medidas que recomienda ESET para protegerse contra la botnet Ramnit, son:
• Instalar y mantener actualizado un software de protección confiable: Esto ayudará a detectar cualquier malware presente en el sistema y sobre todo prevenir su descarga.
• Actualizar regularmente el sistema operativo y otros programas: Los fabricantes de software a menudo lanzan actualizaciones de seguridad para corregir vulnerabilidades conocidas que los cibercriminales aprovechan para acceder a los sistemas. Es importante mantener el sistema operativo y otros programas actualizados para asegurarse de tener las últimas correcciones de seguridad.
• No abrir correos electrónicos o mensajes de personas desconocidas: Los correos electrónicos y mensajes de personas desconocidas pueden contener malware, por lo que es importante no abrirlos. Incluso si parece que provienen de una fuente confiable, siempre es mejor tener precaución y no abrir enlaces o archivos adjuntos en correos electrónicos sospechosos.
• Usar contraseñas seguras y cambiarlas regularmente: Las contraseñas seguras pueden ayudar a proteger la información personal. Se recomienda usar contraseñas complejas y únicas para cada cuenta y almacenarlas en un gestor de contraseñas.
• Evitar descargar software o archivos de fuentes desconocidas: Descargar software o archivos de fuentes desconocidas puede aumentar el riesgo de infectar el equipo con malware. Es importante descargar software solo de fuentes confiables y asegurarse de que los archivos estén verificados antes de descargarlos.
• Utilizar una conexión segura a Internet: Es importante utilizar una conexión segura a Internet, especialmente cuando se ingresa información personal o financiera en línea. Utilice una conexión segura y confiable, y evitar conectarse a redes Wi-Fi públicas no seguras que puedan permitir el acceso no autorizado a la información personal.
“En caso de sospechar de una posible infección, con este u otros códigos maliciosos, es importante realizar un análisis del sistema con una solución de seguridad confiable, para encontrar y eliminar cualquier copia del código malicioso presente. También se deben cambiar todas las contraseñas inmediatamente de cualquier cuenta o servicio que se sospeche pudo haber sido afectado. Finalmente, si la amenaza realizó cambios irreversibles, podremos utilizar copias de seguridad para restaurar la información o archivos en caso de que contemos con una.”, destaca Martina Lopez de ESET Latinoamérica.