Volgens beveiligingsbedrijf F5 Labs heeft de Ramnit-trojan zijn pijlen opnieuw op de financiële sector gericht. De trojan had deze sector in eerste instantie ook op het oog, maar richtte zich later veel meer op e-commerce.
F5 Labs zegt een sterke toename van de malware te hebben gezien in februari en maart. Daarbij lijkt het volgens het bedrijf dat de makers gebruikmaken van de piekdrukte rond belastingaangiftes in diverse landen.
Ramnit is van originele een trojan die zich richtte op de financiële sector, waar het zich tot de feestdagen van vorig jaar op bleef richten. In juli vorig jaar meldde WatchGuard nog dat de trojan een comeback leek te maken en voor het eerst in de top tien bedreigingen terecht was gekomen. Tijdens de feestdagen van 2018 verschoof Ramnit zijn aandacht echter voor een groot deel naar Amerikaanse webwinkels.
Terug in Europa
De trojan is volgens F5 Labs nu echter weer terug in Europa, en dan vooral in Italië. Dat was vorig jaar ook al het geval: 98,9 procent van de aanvallen was toen op Italië gericht, en dan met name op de bankgegevens van burgers van het land. In maart dit jaar werd 40 procent alle aanvallen op Italiaanse financiële diensten en sites veroorzaakt door Ramnit.
De trojan werd verder veel in het Verenigd Koninkrijk en Frankrijk gesignaleerd. 70 procent van de doelwitten was Europees, 27 procent Amerikaans. Ook in Nederland zijn er aanvallen met de Ramnit-trojan gesignaleerd.
Daarnaast behoren social media sites tot de doelwitten, al is dit volgens F5 Labs wel in mindere maten. Twitter, Facebook, Tumblr en YouTube lagen in februari en maart flink onder vuur door de malware.
Configuratie veranderd
Ook blijkt de configuratie van Ramnit constant te veranderen, waaronder het schalen van web injections-tactieken om websites aan te vallen. Aanvallen werden daarbij ook gericht op woorden in plaats van specifieke bedrijven of sites. Aanvallers hopen volgens F5 Labs op die manier ook willekeurige sites te raken.
Verder richtte Ramnit zich op de naam van een Italiaanse opera en diverse verkeerd gespelde domeinnamen.
44 minuten geleden
