Ramnit malware

Ramnit è un trojan bancario che è stato scoperto per la prima volta nel 2010. È uno dei primi 5 trojan bancari in tutto il mondo, ma è particolarmente diffuso nella regione APAC, essendo il terzo più comune. Malware e il secondo trojan bancario più comune, secondo il Cyber Security Report 2023 di Check Point.

Read the Security Report PROGRAMMA UNA DEMO

Come funziona il malware

Ramnit è un istituto bancario troianoCiò significa che il suo scopo principale è quello di rubare le credenziali del conto per l'online banking. Tuttavia, come molti trojan bancari, Ramnit è progettato per essere altamente modulare, consentendogli di raccogliere ulteriori tipi di credenziali, come quelle per i social media, le e-mail e altri account, oppure di scaricare e distribuire altri malware.

Il Ramnit viene spesso diffuso tramite phishing campagne che possono distribuire malware in più fasi. Una volta che l'obiettivo cade nella campagna di phishing iniziale ed esegue il malware, scarica ed esegue un ulteriore malware che alla fine lancia il trojan Ramnit. Ramnit tenterà poi di raccogliere le credenziali bancarie e potrebbe scaricare ulteriori moduli Ramnit o altri malware per raggiungere gli obiettivi dell'aggressore.

Una delle caratteristiche distintive del malware Ramnit è l'uso di domini codificati e di un algoritmo di generazione di domini (DGA) per il comando e il controllo. Il malware che utilizza un DGA genera una sequenza di domini dall'aspetto casuale a cui invia il traffico di comando e controllo. Il server di comando e controllo dell'aggressore esegue lo stesso DGA e registra questi domini, dirigendo il traffico verso il sistema controllato dall'aggressore. Utilizzando un DGA, il malware può evitare le liste di blocco DNS perché utilizza costantemente nuovi domini non bloccati per il suo traffico.

La minaccia

Poiché Ramnit è un trojan bancario modulare, la minaccia principale del malware è la perdita delle credenziali di accesso di un individuo per l'online banking, che può portare al furto di fondi o dell'identità dell'utente.

Tuttavia, il malware Ramnit può anche distribuire moduli aggiuntivi o essere utilizzato come vettore di consegna per altre varianti di malware. Ciò significa che l'impatto di un'infezione Ramnit dipende dai dettagli della campagna di attacco e dalla funzionalità dannosa che viene eseguita con successo sul dispositivo infetto.

Industrie target

Ramnit è principalmente un trojan bancario, il che significa che il suo scopo è quello di rubare le credenziali di accesso per l'online banking, che i criminali informatici possono vendere o utilizzare in attacchi futuri. Per questo motivo, Ramnit si rivolge principalmente agli individui, piuttosto che concentrarsi su particolari settori.

Si è osservato che le campagne Ramnit si rivolgono alle organizzazioni di determinati settori. Ad esempio, una campagna del 2019 ha preso di mira le organizzazioni finanziarie nel Regno Unito, in Italia e in Canada.

Come proteggersi dal malware Ramnit

Alcune best practice per proteggersi dal trojan bancario Ramnit includono:

  • Anti-Phishing Protection: Il malware Ramnit viene solitamente consegnato come allegato dannoso a un'e-mail di phishing, spesso tramite un downloader. Anti-Phishing Le protezioni possono aiutare a identificare e bloccare o sanificare questi contenuti dannosi, impedendo al malware di raggiungere il dispositivo dell'utente.
  • Soluzioni Endpoint Security: Ramnit è una variante di malware consolidata con comportamenti e caratteristiche ben noti. Una soluzione Endpoint Security offre a un'organizzazione o a un individuo la capacità di rilevare le infezioni Ramnit e di impedire che rubino le credenziali o distribuiscano ulteriore malware.
  • Formazione di sensibilizzazione sulla sicurezza informatica: Ramnit viene comunemente distribuito tramite e-mail di phishing, basandosi sull'inganno per indurre l'utente a eseguire la funzionalità dannosa. Formare i dipendenti a riconoscere e a rispondere correttamente agli attacchi di phishing può aiutare a prevenire le infezioni da Ramnit.
  • Analisi del traffico DNS: Il malware Ramnit utilizza spesso un DGA, che genera una serie di domini casuali per le comunicazioni di comando e controllo. L'analisi delle ricerche dei nomi di dominio su un server DNS può consentire a un'organizzazione di identificare i nomi di dominio sospetti che possono indicare un'infezione da Ramnit.
  • Autenticazione multifattore (MFA): L'implementazione dell'MFA rende più difficile per un aggressore utilizzare queste credenziali rubate, richiedendo l'accesso a un fattore di autenticazione aggiuntivo.
  • Zero Trust Security: Sebbene Ramnit sia stato progettato principalmente per rubare le credenziali dell'online banking, può anche rubare altre credenziali. Implementando una politica di sicurezza zero trust e limitando l'accesso e le autorizzazioni degli account utente, un'organizzazione può ridurre l'impatto potenziale e il danno causato da un account compromesso.

Rilevamento e protezione malware Ramnit con Check Point

Ramnit è uno dei principali trojan bancari e una variante di malware comune, soprattutto nella regione APAC. Tuttavia, è solo una delle numerose minacce alla cybersecurity che le aziende devono affrontare. Per ulteriori informazioni sulle principali minacce malware e sull'attuale panorama delle minacce informatiche, consulti il sito di Check Point Cyber Security Report 2023.

Check Point Harmony Endpoint offre un threat prevention completo e il rilevamento di Ramnit, di altri malware e di varie minacce alla sicurezza degli endpoint di un'organizzazione. Per maggiori informazioni su Harmony Endpoint e per sapere come può contribuire a migliorare le capacità della sua organizzazione in materia di malware threat prevention, Si iscriva oggi stesso per una demo gratuita.

×
  Feedback
Questo sito web utilizza cookies per la sua funzionalità e per scopi di analisi e marketing. Continuando a utilizzare questo sito Web, accetti l'utilizzo dei cookies. Per ulteriori informazioni, leggere la nostra Informativa sui cookie.
OK