Ramnit es una botnet que se hizo conocida en la década del 2010 debido a su alta capacidad de infección y propagación. Aunque su actividad disminuyó luego del desmantelamiento de su infraestructura en 2015, un año después comenzó a recuperarse y no solo volvió a ubicarse en el top 5 de troyanos en el mercado, sino que su actividad se ha mantenido hasta ahora. Según los sistemas de telemetría de ESET, en la actualidad es una de las cuatro amenazas con mayor actividad en América Latina con más de 180 mil detecciones durante los primeros tres meses de 2023.

Su capacidad para infectar dispositivos y propagarse rápidamente, así como la sofisticación de las técnicas que implementa, la convierten en una de las botnets más riesgosas y persistentes de la actualidad.

Características de la botnet Ramnit

Ramnit es una botnet que fue descubierta por primera vez en 2010 y que apunta a sistemas Windows. Se propaga principalmente a través de la descarga de archivos maliciosos que son distribuidos generalmente a través de correos falsos, así como sitios fraudulentos o comprometidos. A lo largo de los años, Ramnit ha evolucionado y se han desarrollado variantes que han sido utilizadas para una variedad de actividades maliciosas, incluyendo el robo de información financiera y el secuestro de cuentas de redes sociales.

Para quienes no están familiarizados con el término, una botnet es un software malicioso que puede ser controlado por un atacante de manera remota. Es decir que un atacante puede realizar distintas acciones en un dispositivo infectado a través de instrucciones que son enviadas por un actor a distancia.

Una vez instalado en el sistema, Ramnit se configura para ejecutarse siempre al inicio de Windows mediante la modificación de las claves de registro. Luego, y persiguiendo su objetivo principal, recorre el sistema buscando robar credenciales bancarias, contraseñas y otra información financiera valiosa.

Otra variante de Ramnit, descubierta meses después del primer avistamiento de este malware, apunta al secuestro de cuentas de redes sociales, buscando hacerse con credenciales de acceso a cuentas como Facebook, Twitter y otras plataformas sociales. Una vez que un atacante tiene acceso a una cuenta de redes sociales, puede enviar mensajes de spam, propagar malware y realizar otras actividades maliciosas.

Uso de Ramnit por grupos cibercriminales

El malware Ramnit ha sido utilizado por varias bandas cibercriminales en el pasado y su popularidad ha llevado a que sea utilizado en diferentes campañas de ataques. Por ejemplo, se ha combinado con el troyano Qakbot, el cual ha sido utilizado por bandas centradas en el robo de credenciales bancarias alrededor de Latinoamérica y el mundo.

En febrero de 2015, el FBI lideró una operación internacional con el objetivo de desmantelar esta botnet. Esta operación se llevó a cabo en colaboración con las autoridades de varios países, incluidos Reino Unido y Países Bajos, así como agencias de seguridad de otros países. Para ello, los investigadores del FBI identificaron y localizaron los servidores utilizados para controlar y coordinar las actividades maliciosas. Luego, trabajaron con los proveedores de servicios de internet y los equipos de respuesta a incidentes de los países involucrados para desactivar los servidores y bloquear el tráfico de red asociado con la botnet.

Esta operación tuvo un impacto significativo en la capacidad de Ramnit para infectar y controlar dispositivos, y se estima que se eliminaron más de 300,000 equipos “zombie” en todo el mundo. Sin embargo, y como algunos expertos señalaron en su momento, este malware pudo resurgir. Todavía se desconoce si fue con una infraestructura totalmente nueva  o si fue porque no se llegó a desmantelar por completo y quedaron nodos de la red anterior sin ser descubiertos.