Le centre européen de lutte contre la cybercriminalité d'Europol, le FS-ISAC (Financial Services Information Sharing and Analysis Center), Symantec, AnubisNetworks et Microsoft ont collaboré ensemble pour faire tomber le botnet Ramnit.
Ramnit a été découvert en avril 2010 et a commencé à se répandre sous la forme d'un ver informatique. Il a par la suite évolué vers un botnet en se dotant de plusieurs modules obtenus après la libération en 2011 du code source du malware ZeuS de funeste réputation. Un cheval de Troie bancaire et plus encore une boîte à outils.
Symantec brosse le portrait d'un botnet Ramnit aux multiples facettes avec le vol d'identifiants à des services bancaires en ligne, de mots de passe pour des réseaux sociaux, de cookies de session de navigateurs Web, de fichiers sur le disque dur, d'identifiants FTP… Rien de bien sympathique.
Ramnit était configuré pour rester discret, allant même jusqu'à désactiver des protections de sécurité inhérentes à Windows. Il générait 300 domaines Internet pour tenter d'entrer en communication avec un serveur de contrôle et commande via un protocole maison utilisant le port 443. Une communication chiffrée.
L'action médiatisée mercredi a permis de fermer les serveurs de commande et contrôle utilisés par le botnet Ramnit. L'enquête se poursuit avec l'analyse des serveurs. Gageons que cela pourra permettre l'arrestation des cybercriminels derrière Ramnit. Sans quoi, il est à craindre qu'une nouvelle infrastructure visant à soutenir Ramnit soit mise en place.
La menace Ramnit est censée être prise en charge par les solutions de sécurité. Pour avoir l'esprit serein, il est possible de se tourner vers un outil comme celui proposé par Microsoft.
