시만텍이 유럽연합의 범죄대책기구 유로폴 및 민간기업들과 공조해 지난 5년간 총 320만대 이상의 컴퓨터를 감염시킨 악성코드 램니트(W32.Ramnit.B) 배후의 사이버 범죄 조직을 검거했다.

시만텍과 정부 당국은 이번 작전을 통해 사이버 범죄 조직의 서버와 기타 인프라를 압수했다.

램니트는 2010년 처음 발견됐으며 2011년 5월 유출된 제우스 트로이목마(Trojan.Zbot)의 소스코드를 이용해 공격 역량을 한층 강화했다.

지난 5년 간 램니트에 감염된 컴퓨터는 누적해서 총 320만대며 지금도 감염 상태에 있는 컴퓨터가 무려 35만대에 이르는 것으로 나타났다. 램니트는 공격적인 자가전파 기술을 통해 급속히 확산되면서 금융 정보, 비밀번호, 쿠키, 개인 파일을 수집하는 거대 사이버 범죄 조직으로 성장할 수 있었다.

램니트는 컴퓨터를 감염시킨 후 다양한 공격 기법을 활용하는데 로컬 하드디스크와 이동식 드라이브에서 EXE, DLL, HTM, HTML 파일을 자신의 복사본으로 감염시키는 것이 특징이다.

공격자는 램니트를 활용해 피해자의 웹 브라우징 세션을 감시하고 금융 정보를 가로챌 뿐 아니라 웹사이트 쿠키를 탈취해 피해자를 사칭하며 하드 디스크에서 파일을 빼낼 수 있다.

또한 피해자 컴퓨터에 원격으로 접속해 정보를 몰래 빼내거나 멀웨어를 추가로 다운로드 할 수 있다.