Secondo la nuova ricerca promossa dagli F5 Labs e dal Security Operations Center (SOC) di F5 – che ha preso in esame le configurazioni attive di questa minaccia bancaria nei mesi di febbraio e marzo 2019 – Ramnit, il famigerato trojan bancario, è tornato alle origini dopo le vittoriose incursioni nel mondo dell’e-commerce.
Tutti i segnali indicano come gli autori di Ramnit siano tornati a colpire i servizi finanziari online, in preparazione del periodo che coincide con la dichiarazione dei redditi, in particolare in Italia.
A dicembre 2018, il malware Ramnit era stato il protagonista delle festività natalizie amaricane, mostrando la sua capacità di spostare il focus dell’attacco dal mondo finance ai siti di e-commerce statunitensi.
Nell’ultima analisi, invece, risulta che gli autori di Ramnit siano tornati a concentrarsi su siti dei servizi finanziari e i siti di tecnologia finanziaria, in particolare in Italia (40% di tutti gli attacchi), con una distanza significativa dagli altri Paesi europei: il 9% degli attacchi era rivolto al Regno Unito e l’8% a Francia.
Complessivamente, il 70% di tutti gli obiettivi degli attacchi di Ramnit è stato localizzato in Europa, il 27% negli Stati Uniti e il 3% nel resto del mondo.
È interessante notare che i siti di social networking hanno rappresentato solo una porzione minore degli obiettivi di questi attacchi, anche se nello stesso periodo le più importanti piattaforme di social networking del mondo, come Twitter, Facebook, Tumblr e YouTube subivano attacchi consistenti.
Approfondendo l’analisi, gli F5 Labs hanno scoperto che le configurazioni di Ramnit a marzo tendevano a riadattarsi in modo costante, comprendendo tattiche di scaling web injection. Si tratta di una novità interessante che comporta la capacità di perseguire gli obiettivi senza alcun collegamento con una azienda o un sito web specifico. Ricorrono, invece, numerose parole in francese, italiano o inglese aggiunte al mix nella speranza di catturare in modo casuale i siti web. Insieme a parole utilizzate come semplici obiettivi, ad esempio il termine “bonifico”, Ramnit includeva anche il nome di un’opera italiana, Il Trovatore, e alcuni nomi di dominio errati.
“Ramnit è un Trojan bancario persistente, emerso per la prima volta nel 2010 con forma meno sofisticata di un worm autoreplicante. Oggi, le sue tattiche e obiettivi si sono evoluti rendendolo in grado di colpire altri settori e fare potenzialmente molti più danni. Ha una grande capacità di adattarsi, come abbiamo notato nel recente passaggio al settore finanziario, e i suoi autori sono in grado di espandere in modo significativo la superficie di attacco”, spiega Roy Moshailov, head of security and malware research di F5 Networks.
“È fondamentale per le banche e le aziende del mondo finance implementino soluzioni per la protezione dalle frodi Web per garantire la sicurezza dei propri clienti e contribuire a ridurre l’onere di eventuali costi legati alle frodi, in particolare per le banche che vengono prese di mira in modo costante. Anche altri settori devono essere consapevoli delle tecniche sempre più intelligenti sfruttate da chi attacca, in modo da poter prendere precauzioni analoghe. La cosa più importante, infatti, è non mostrarsi mai compiacenti. Dato che i malware Trojan in genere vengono installati tramite phishing o pubblicità dannose, è quindi fondamentale che le organizzazioni offrano formazione ai proprio dipendenti e clienti in modo da renderli maggiormente consapevoli sulla sicurezza.”
