2015年2月底,歐洲刑警組織(Europol)聯(lián)合多家安全公司搗毀了金融詐騙網(wǎng)站Ramnit僵尸網(wǎng)絡(luò)的C&C服務(wù)器。10個(gè)月過后,這個(gè)僵尸網(wǎng)絡(luò)似乎又卷土重來了。據(jù)IBM的X-Force Threat Intelligence團(tuán)隊(duì)報(bào)告,Ramnit背后的團(tuán)隊(duì)正在慢慢地進(jìn)行第二版網(wǎng)絡(luò)的建設(shè)工作,目前,他們已經(jīng)開始利用惡意廣告以及銀行木馬病毒感染用戶的設(shè)備。
Ramnit最早在2010年出現(xiàn),到2014年年底,它成為了繼GameOver Zeus、Neverquest、Shylock之后的第四大金融詐騙僵尸網(wǎng)絡(luò)。主要攻擊美國、澳大利亞、英國等英語國家,很快,它成為了微軟、賽門鐵克、AnubisNetworks等網(wǎng)絡(luò)安全公司的主要打壓對象,它們聯(lián)手Europol歐洲網(wǎng)絡(luò)犯罪中心(EC3)并在今年2月底搗毀了這個(gè)網(wǎng)站的主服務(wù)器。
IBM的研究人員指出,Ramnit v1僵尸網(wǎng)絡(luò)的C&C服務(wù)器雖然還在發(fā)送指令,但鑒于Europol的努力,這些指令從未達(dá)到過已經(jīng)感染的設(shè)備上。
看起來這對于Ramnit背后的犯罪團(tuán)隊(duì)并沒有太大關(guān)系,因?yàn)樗麄円呀?jīng)拋棄了這個(gè)老的服務(wù)器,并已經(jīng)展開了新的行動。
IBM安全專家稱,v2和v1并沒有太大差異,只是感染的方式不同了。據(jù)悉,Ramnit v1用的是可移動硬盤盒網(wǎng)絡(luò)共享感染途徑,而v2則改用了惡意廣告將用戶引到一個(gè)Angler Exploit Kit網(wǎng)頁上。
IBM指出,Ramnit似乎成為了首個(gè)重新露面的銀行欺詐僵尸網(wǎng)絡(luò),這讓他們感到詫異。此外,IBM的專家們表示,由于他們從未對外公布過任何關(guān)于v1的信息、它的源代碼也從未對外公開過,所以猜測v2背后的犯罪團(tuán)伙跟v1的應(yīng)該是同一個(gè)。