27 febbraio 2015

Nonostante le numerose segnalazioni di agenzie di stampa che Europol ha condotto un'operazione su larga scala per interrompere l’attività della botnet Rmnet, gli specialisti Doctor Web continuano ad osservare l'attività da parte della botnet. Secondo i media, gli ufficiali del dipartimento per la lotta contro la criminalità informatica della polizia del Regno Unito insieme agli specialisti da Germania, Italia e Paesi Bassi hanno interrotto l’attività di diversi grandi server di controllo di Rmnet.

Secondo le segnalazioni di agenzie di stampa, il 24 febbraio 2015 attraverso gli sforzi congiunti di alcuni enti sono stati disattivati i server di controllo della botnet Rmnet. All’operazione hanno partecipato Centro europeo per la lotta alla criminalità informatica di Europol (Europol's European Cybercrime Centre), CERT-EU (Computer Emergency Response Team), le aziende Symantec, Microsoft, AnubisNetworks ed altri enti dai paesi europei. Sulla pagina web di Europol viene comunicato che gli specialisti della sicurezza informatica hanno potuto intercettare circa 300 domini di server di controllo, generati dal programma malevolo, e l’agenzia Reuters menziona che nel corso dell’operazione sono stati bloccati 7 server di controllo attivi. Secondo le informazioni di Symantec, quest’operazione ha cessato l’attività di una botnet costituita da trecentocinquantamila dispositivi infetti, mentre secondo le informazioni di Microsoft, il numero totale di dispositivi infetti potrebbe arrivare ai cinquecentomila.

Gli specialisti Doctor Web seguono diverse sottoreti delle botnet create dai malfattori tramite varie versioni del virus Rmnet. Per esempio la versione denominata Win32.Rmnet.12 è conosciuta da settembre 2011. Win32.Rmnet.12 è un “file virus” composito multicomponente che è costituito da diversi moduli e dispone della capacità di proliferazione automatica. Il virus può eseguire comandi impartiti dai malfattori, incorporare contenuti estranei in pagine web visualizzate dall’utente (in linea teorica, questa funzione permette ai criminali informatici di accedere alle informazioni segrete dei conti bancari delle vittime), inoltre può ricavare cookies e le password dei client FTP popolari, per esempio di Ghisler, WS FTP, CuteFTP, FlashFXP, FileZilla, Bullet Proof FTP e di altri ancora.

La versione recente Win32.Rmnet.16 è diversa da quella precedente per una serie di caratteristiche di architettura, in particolare utilizza firma digitale per la scelta del server di controllo. Il virus può eseguire i comandi di scaricare ed eseguire qualsiasi file, di aggiornare il virus, di catturare una schermata e di inviarla ai malfattori e persino il comando di distruggere il sistema operativo. Inoltre, il modulo backdoor ha le funzioni che permettono di “killare” i processi della maggior parte dei programmi antivirus diffusi. Così come anche la versione precedente, il virus Win32.Rmnet.16 può registrare dati nel settore di avvio di disco (MBR) e salvare i suoi file alla fine del disco in forma cifrata.

Nonostante che molte agenzie di stampa hanno segnalato il successo dell’operazione per bloccare l’attività della botnet Rmnet, gli specialisti Doctor Web non hanno notato alcuna diminuzione dell’attività delle botnet monitorate incessantemente dal laboratorio antivirus. In totale, al momento gli specialisti Doctor Web sanno di almeno 12 sottoreti Rmnet che utilizzano l’algoritmo di generazione dei domini di server di controllo, e almeno di due sottoreti Win32.Rmnet.12 che non utilizzano la generazione automatica dei domini (dalla prima categoria, gli specialisti Symantec hanno bloccato soltanto una sottorete con seed 79159c10).

In due sottoreti della botnet Win32.Rmnet.12 in media circa 250000 – 270000 nodi infetti al giorno si connettono ai server di controllo, il che viene mostrato nei grafici sottostanti:

Attività giornaliera media della botnet Win32.Rmnet.12, 1° sottorete

Attività giornaliera media della botnet Win32.Rmnet.12, 2° sottorete

Nella sottorete Win32.Rmnet.16 seguita dagli specialisti Doctor Web, si osserva un’attività giornaliera media molto inferiore, ma neanche qui ci sono diminuzioni brusche, probabilmente dovute al blocco dei server di comando:

Attività giornaliera media della botnet Win32.Rmnet.16

Si osserva una situazione simile nell’attività dei computer su cui funzionano i moduli malevoli denominati comunemente Trojan.Rmnet.19:

Attività giornaliera media della botnet Trojan.Rmnet.19

Le statistiche sopraccitate mostrano che, a quanto pare, non tutti i server di gestione sono stati soppressi nel corso dell’operazione per l’eliminazione della botnet Rmnet. Almeno cinquecentomila PC, infettati da varie versioni di questo virus, continuano ad essere attivi e si connettono ai server di comando rimanenti. Doctor Web seguirà ulteriormente gli sviluppi della situazione.