Ramnit : démantèlement d’un gros botnet Windows

Démanteler un réseau de PC zombies, cela s’avère compliqué, notamment car cela impose généralement de mobiliser les autorités de plusieurs pays. Une fois encore, c’est une opération menée conjointement qui a permis de s’attaquer à un botnet, en l’occurrence Ramnit.

Le centre européen de lutte contre la cybercriminalité d’Europol, le FS-ISAC (Financial Services Information Sharing and Analysis Center), Symantec, AnubisNetworks et Microsoft ont donc collaboré ensemble pour faire tomber le botnet Ramnit.

D’après la police européenne, ce réseau d’ordinateurs Windows infectés a pu compter dans ses rangs jusqu’à 3,2 millions de machines à travers le monde et se montrait encore bien vivace au cours de ses derniers mois. En début d’année, Microsoft a en effet détecté plus d’un demi-million d’ordinateurs infectés par Ramnit.

Cette fois encore, le centre de lutte s’est associé notamment à des sociétés privées, parmi lesquelles Microsoft, Symantec et AnubisNetworks. Le groupe a ciblé les serveurs de contrôle de Ramnit, c’est-à-dire les machines utilisées pour envoyer des commandes aux machines zombies.

Europol a également redirigé 300 domaines Internet exploités par les pirates. Les autorités précisent que par le ver Ramnit (détecté pour la première fois en 2010) permettait aux attaquants de gagner un accès distant aux ordinateurs Windows infectés et ainsi de dérober des données sensibles, dont notamment des informations bancaires.

Selon Symantec, les variantes de Ramnit étaient en novembre 2014 responsables de 6700 nouvelles infections par jour, en baisse par rapport aux mois précédents (8.000/jour en mai 2014). Les compromissions détectées concernent avant tout des ordinateurs basés en Inde (27%), en Indonésie (18%) et au Vietnam (12%), et dans une moindre mesure les Etats-Unis (6%).

Symantec brosse le portrait d’un botnet Ramnit aux multiples facettes avec le vol d’identifiants à des services bancaires en ligne, de mots de passe pour des réseaux sociaux, de cookies de session de navigateurs Web, de fichiers sur le disque dur, d’identifiants FTP… Rien de bien sympathique.

Ramnit était configuré pour rester discret, allant même jusqu’à désactiver des protections de sécurité inhérentes à Windows. Il générait 300 domaines Internet pour tenter d’entrer en communication avec un serveur de contrôle et commande via un protocole maison utilisant le port 443. Une communication chiffrée.

L’action médiatisée mercredi a permis de fermer les serveurs de commande et contrôle utilisés par le botnet Ramnit. L’enquête se poursuit avec l’analyse des serveurs. Gageons que cela pourra permettre l’arrestation des cybercriminels derrière Ramnit. Sans quoi, il est à craindre qu’une nouvelle infrastructure visant à soutenir Ramnit soit mise en place.