Az Europol hatástalanította azt a RAMNIT botnetet, amely 3,2 millió számítógépet fertőzött meg

Úgy tűnik, hogy a világ háborút indított a kiberbűnözők ellen. Nemrég arról írtunk, hogy az FBI 3 millió dolláros jutalmat ígért a GameOver Zeus botnet kiagyalójának letartóztatásáért és most a brit kiber-rendőrség hatástalanította a széles körben elterjedt RAMNIT botnetet.

A Nemzeti Bűnüldöző Ügynökség (NCA) az Europol kiberbiztonsági szervezetével (EC3), valamint németországi, olasz, holland és Egyesült Királyságbeli rendőrségi szervekkel együttműködve hatástalanította a Ramnit „botnetet”, amely világszerte több mint 3,2 millió számítógépet fertőzött meg, ebből 33000-et az Egyesült Királyságban.

A GameOver Zeushoz hasonlóan a RAMNIT is egy ’botnet’ – azaz zombi számítógépek hálózata, amelyet bűnözők üzemeltetnek rosszindulatú célzattal, mint például vírusok terjesztése, rosszindulatú hivatkozásokat tartalmazó levélszemét kiküldése és elosztott szolgáltatás-megtagadás támadások (DDoS) indítása.

A RAMNIT a rosszindulatú tartalmat úgy terjeszti, hogy megbízhatónak tűnő hivatkozásokat ajánl phising levelekben vagy közösségi oldalakon. Főleg a Windows operációs rendszert használókat célozzák meg és pénzt lopnak az áldozatok bankszámláiról. Kiderült, hogy nyílt FTP szerverek is terjesztik a rosszindulatú szoftvert.

Ha a szoftver feltelepült, akkor a megfertőzött gép a botnetet működtetők irányítása alá kerül. A modul vírust tölt a fertőzött gépre, melyet az üzemeltetők személyes vagy banki információk megszerzésére, jelszavak lopására és az antivírus szoftver hatástalanítására használhatnak.

A RAMNIT hatástalanító művelet

Az Europol csütörtöki tájékoztatójában azt nyilatkozta, hogy a RAMNIT botnet sikeres ártalmatlanításában a Microsoft, Symantec és az AnubisNetworks segítségét is igénybe vette. A csoport leállította a botnet irányító infrastruktúráját és a Ramnit-ot irányító bűnözők által használt összesen 300 domain cím forgalmát elirányította.

„Ez a sikeres művelet megmutatja annak a fontosságát, hogy a nemzetközi rendőri szervek az ipari szereplőkkel együttműködve harcoljanak a kiberbűnözés globális fenyegetése ellen,” mondta Wil van Gemart, az Europol helyettes műveleti igazgatója. „Továbbra is erőfeszítéseket teszünk a botnetek leállítása érdekében, tönkretéve a bűnözők által különféle kiberbűnök elkövetésére használt alap infrastruktúrákat.

A Ramnit botnet ártalmas tulajdonságai

A Symantec szerint a Ramnit már több mint négy éve bukkant fel, először számítógépes féreg képében. Ez egy „teljesen kiépített kiberbűnözői eszköz, mely hat szabványos modult tartalmaz, melyek különféle módokat kínálnak az áldozat megfertőzésére.” A modulok tulajdonságai:

  • Kém modul – ez a Ramnit leghatásosabb eszköze, az áldozat webhasználatát figyeli és detektálja, ha az banki oldalakat látogat. Betelepülhet az áldozat böngészőjébe és a bank honlapját oly módon kezeli, hogy törvényesnek tűnik és megszerzi az áldozat bankkártya adatait.

  • Sütitolvaj – session sütiket lop el a böngészőtől, és továbbküldi a Ramnit operátoroknak, akik ezt arra használhatják fel, hogy weboldalakon azonosítsák magukat és így ellopják az áldozat azonosságát. Ez lehetővé teheti a kalóznak, hogy más által kezdeményezett online banki tranzakciókat használjon ki saját javára.

  • Lemezmeghajtó-ellenőrző – végigkeresi a számítógép merevlemezét és fájlokat lop róla. A szkennert úgy konfigurálták, hogy az érzékeny információkat – mint például felhasználói jelszavak - tartalmazó mappákat ellenőrizze.

  • Anoním FTP szerver – a modul lehetővé teszi, hogy a támadók rácsatlakozva távolról elérjék a számítógépet és hozzáférjenek a fájlrendszerhez. Fájlokat tölthetnek le, fel, vagy programokat indíthatnak.

  • Virtuális hálózati (VNC) modul – egy másik módszer a megtámadott gépek fölötti távoli hozzáférés megszerzésére.

  • FTP grabber – lehetővé teszi, hogy a támadó többféle FTP klienshez is megszerezze a hitelesítő adatokat.

Miért jelennek meg újra a botnetek hatástalanítás után?

A hatóságok szerint a Ramnit botnetet működésképtelenné tették, de vajon van rá garancia, hogy a botnet nem fog újra feltűnni? Tanúi voltunk, amint az FBI és az Europol hatástalanította a GameOver Zeus botnetet és mi történt utána? Alig egy hónap telt el és GameOver Zeus botnet újra működni kezdett, még több kellemetlen tulajdonságot felvonultatva. Vajon mi történt? Miért nem hatékonyak a botnetek leállítására indított akciók? Az egyik ok az lehet, hogy a bűnüldöző szervezetek a botnet kritikus infrastruktúráját jelentő C&C kontrollerek csak kis részét tudták hatástalanítani, a többi változatlanul üzemképes maradt. Ebből a helyzetből a botnet operátorok pár hónap alatt visszaépíthetik hálózatukat. Ahogy a bűnüldözés egyre több és több botnetet hatástalanít, a kiberbűnözők egyre inkább másodlagos kommunikációs módszereket alkalmaznak, mint pl. a peer-to-peer technika, vagy domén generációs algoritmusok /DGA/.

A Botnet újbóli megjelenésének fő oka az, hogy a támadó szoftver szerzőjét nem sikerült letartóztatni. Akárhány botnetet le lehet állítani, de ha a támadókat nem tartóztatják le, azok akár nulláról is újraépíthetik hálózatukat.

Ezzel kapcsolatban elismerésre méltónak tartjuk az FBI lépését, miszerint 3 Millió dollárt ajánlott fel az információért, amely közvetlenül Jevgenyij Mihajlovics Bogacsev letartóztatásához vagy elítéléséhez vezet. Bogacsevet tartják a GameOver Zeus botnet szerzőjének, annak a botnetnek, amelyet felhasználva kiberbűnözők több mint 100 millió dollárt loptak el online bankszámlákról.