シマンテックは2月26日、Ramnitボットネットの背後にいるサイバー犯罪グループが所有するサーバーなどのインフラが押収されたことを明かした。欧州刑事警察機構(ユーロポール)が主導した法執行で、シマンテックやMicrosoftなどが協力した。

この大規模な犯罪グループは5年以上にわたって活動を続け、これまで320万台以上のコンピュータを侵害してきた。今回のインフラの押収によって、犯罪グループに大きな打撃を与えたと見込まれている。

Ramnitはワームの一種で、2010年に初めて登場し、ソースコードが流出したZeus Trojan(Trojan.Zbot)からモジュールを取り入れ機能を強化した。

コンピュータに侵入すると、複数の方法で詐欺を実行できる。Web閲覧セッションを監視してオンラインバンキングのアカウント情報を盗めるほか、ハードディスクからファイルを奪う、盗んだ情報を外部に送信したり追加のマルウェアのダウンロードも可能だという。

攻撃者によるRamnitの配布には、侵害したWebサイトやソーシャルメディアページ上でホストされている悪用キットが利用される場合が多い。公開FTPサーバーでマルウェアを配布しているケースも確認されている。

侵入後は内蔵HDDとメモリーに保存される。HDDのRamnitが駆除されたことを検知すると、メモリーからHDDにコピーされる。

被害は世界中で確認されている。最近では、インド、インドネシア、ベトナム、バングラデシュ、フィリピンなどのアジア諸国が多くの被害が確認されている。

Ramnitの感染の割合