Ramnit вернулся с новым ботнетом Black

Исследователи компании Checkpoint обнаружили масштабный ботнет под названием Black, созданный операторами банковского трояна Ramnit.

Впервые о Ramnit стало известно в 2010 году. В то время вредонос представлял собой сетевого червя, однако в 2011 году он был усовершенствован с помощью утекшего исходного кода трояна Zeus и в настоящее время является одним из популярнейших банковских троянов. В 2014 году Ramnit занял четвертое место среди крупнейших ботнетов. В 2015 году C&C-инфраструктура ботнета была отключена совместными усилиями Интерпола и технологических компаний. Тем не менее, спустя несколько месяцев появился новый вариант трояна.

Недавно обнаруженный ботнет Black всего за два месяца успел заразить 100 тыс. систем, и это только начало. По словам исследователей, сейчас идет второй этап кампании, в ходе которого распространяется вредоносное ПО Ngioweb.

Как сообщают исследователи, C&C-сервер Ramnit (185.44.75.109) активен с 6 марта текущего года, но в то время он не привлекал внимания из-за небольших масштабов ботнета. Однако в мае-июле была зафиксирована новая вредоносная кампания, в ходе которой были заражены 100 тыс. систем.

Ramnit распространяется через спам. Установившись на систему, вредонос загружает вредоносное ПО Ngioweb, представляющее собой многофункциональный прокси-сервер и использующее собственный протокол с двумя уровнями шифрования.