Oude Ramnit trojan is terug en valt Europese banken aan

F5Networks

De Ramnit trojan, die van origine financiële instellingen als doelwit had, maar zich daarna op e-commerce richtte, is terug in de financiële sector. F5 Labs rapporteert een sterke toename van de malware in februari en maart, waarbij het erop lijkt dat de makers gebruikmaken van de piekdrukte rond belastingaangiftes in verschillende landen.

Tijdens de feestdagen van 2018 verschoof de aandacht van Ramnit grotendeels naar Amerikaanse webwinkels. Nu is de trojan terug in Europa, met name in Italië. In maart werd 40 procent van alle aanvallen op Italiaanse financiële services en sites veroorzaakt door Ramnit. Ook in het VK en in Frankrijk is hij volop gesignaleerd. 70 procent van de doelwitten was Europees, 27 procent Amerikaans. Ook in Nederland zijn aanvallen door Ramnit gesignaleerd.

Aanval op woorden

F5 Labs ontdekte ook dat social media sites tot de doelwitten behoren, hoewel in mindere mate. Toch lagen Twitter, Facebook, Tumblr en YouTube in februari en maart flink onder vuur. Verder blijkt uit de bevindingen dat de configuratie van Ramnit continu verandert, waaronder het schalen van web injections tactieken om websites aan te vallen. Hierbij valt op dat aanvallen ook gericht werden op woorden in plaats van specifieke bedrijven of sites. Op deze manier hopen de aanvallers ook willekeurige websites te raken. Naast deze woorden richtte Ramnit zich op de naam van een Italiaanse opera en enkele verkeerd gespelde domeinnamen.

Roy Moshailov, head of security en malware research bij F5 Networks: “Financiële instellingen moeten maatregelen nemen tegen webfraude om klanten te beschermen en onnodige kosten te voorkomen. Bedrijven in andere sectoren moeten daarnaast hiervan leren: de tactieken die in de ene branche voorkomen, kunnen gemakkelijk worden ingezet in een andere, getuige de sprong die Ramnit heeft gemaakt.”