Un “bot” es un programa malicioso que permite al ciberatacante tomar el control de un equipo infectado. Generalmente los bots forman parte de una red de máquinas infectadas, conocidas como “botnet”. La botnet Ramnit estaba formada con más de 350,000 computadoras distribuidas en prácticamente todo el mundo. Entre los 50 países con más infecciones detectadas se encuentran algunos de América Latina como Brasil (10), México (22), Colombia (32) y Perú (49)
La Oficina de Policía Europea (Europol) llevó a cabo una operación policiaca con el apoyo de Symantec, Microsoft y otras empresas de la industria, para desmantelar los servidores y la infraestructura del grupo de ciberdelincuencia detrás del botnet conocido como “Ramnit”. Como parte de la investigación que llevó a dar este golpe, Symantec colaboró proporcionando análisis técnico y de telemetría sobre actividades de ciberataques asociados con la botnet en cuestión.
En sus cinco años de operación, Ramnit ha evolucionado hasta convertirse en una gran organización cibercriminal, infectando a más de 3.2 millones de computadoras a nivel mundial, siendo India el país más afectado por el grupo de ciberdelincuentes, quienes se apoderaron de accesos bancarios, contraseñas, cookies y archivos personales.
Ramnit (W32.Ramnit) inició como un gusano que apareció por primera vez en 2010 y se diseminó rápidamente debido a su agresiva capacidad de autopropagación. Una vez que comprometía a un equipo buscaba todos los archivos EXE, DLL, HTM y HTML en el disco duro local y otros dispositivos removibles, intentando infectarlos al crear copias de sí mismo.
A través del tiempo, este malware evolucionó y sus administradores se enfocaron en aprovechar sus características para aprovechar la botnet. La versión más reciente de Ramnit (W32.Ramnit.B) ha dejado atrás la rutina original de infección de archivos para lograr una amplia gama de métodos alternativos de ataque. Sus capacidades para apoyar al cibercrimen fueron impulsadas gracias a diferentes módulos que son tomados del Troyano Zeus (Trojan.Zbot), cuyo código fuente fue filtrado en mayo de 2011. Este desarrollo transformó al botnet Ramnit en un gran imperio del cibercrimen, alcanzando más de 350,000 computadoras infectadas, recopilando credenciales bancarias, contraseñas, cookies y archivos personales de las víctimas.