Por Arie Fred, vicepresidente de producto, SecBI
El troyano de acceso remoto (RAT) casi puede considerarse la herramienta «heredada» de los hackers. El RAT es un programa de malware que utiliza una puerta trasera para el control administrativo del ordenador objetivo. Como tal, las RAT se utilizan para operaciones «bajas y lentas», prolongadas y sigilosas, como las APT. Mediante esta técnica maliciosa, los atacantes se toman su tiempo para explorar las redes y los activos de la víctima, y luego se mueven lo más silenciosamente posible para lograr sus objetivos sin ser detectados. Algunas APT llevan años operando y las RAT juegan un papel crucial para que los atacantes puedan acceder a los objetivos evitando ser detectados.
Aunque las RATs han existido desde hace bastante tiempo, no han aumentado su «popularidad» entre los malwares, ya que se consideraban complicadas de desarrollar y operar, exigiendo un alto conjunto de habilidades de los hackers. Pero esta tendencia parece haber cambiado en el último año. Durante los últimos 18 meses aproximadamente, las RATs se han vuelto más fácilmente disponibles y accesibles, lo que ha provocado un aumento en el número de víctimas de RATs, que no están equipadas para detectar y mitigar esta amenaza de malware.
Los RATs son ahora baratos y están disponibles comercialmente
Dos factores principales que contribuyen al uso generalizado de los RATs son su disponibilidad y asequibilidad. Por ejemplo, una herramienta llamada troyano de acceso remoto «Imminent Monitor» (IM-RAT). IM-RAT proporcionaba a los ciberdelincuentes acceso gratuito a las máquinas de las víctimas. Era lo suficientemente inteligente como para eludir el software antivirus y de detección de malware, llevar a cabo comandos como el registro de pulsaciones de teclas, robar datos y contraseñas, y observar a las víctimas a través de sus cámaras web. Todo eso podía hacerse sin que la víctima lo supiera.
Todo este paquete de características, probado en el terreno y fácil de usar, se vendía por tan sólo 25 dólares la pieza. Por suerte, la Policía Federal Australiana (AFP), con la actividad internacional coordinada por Europol y Eurojust, fue capaz de desmantelar la infraestructura de la RAT y de detener a varios de los usuarios más prolíficos de este troyano de acceso remoto (RAT). El desarrollador y un empleado de IM-RAT fueron detenidos en Australia y Bélgica en junio de 2019, y la herramienta, que se utilizaba en 124 países y se vendía a más de 14.500 compradores, ya no está disponible.
En Canadá, se descubrió que una herramienta de acceso remoto para uso administrativo era, de hecho, una RAT. Su desarrollador y su director de desarrollo comercial, que trabajaban desde Toronto bajo la entidad legal «Orcus Technologies», fueron detenidos. Las fuerzas del orden declararon que el dúo vendía y ayudaba a los actores maliciosos a instalar la RAT Orcus en los ordenadores de otras personas, y también gestionaba un servicio de servidor de nombres de dominio dinámico (DDNS) que ayudaba al malware a comunicarse con los hosts infectados sin revelar la dirección IP real del hacker.
Métodos de infección innovadores
Una vez que los ciberdelincuentes se hacen con la RAT, emplean formas muy creativas para incrustar el malware en los sistemas de las víctimas. Aunque el principal método de infección sigue siendo a través de un documento armado recibido por correo electrónico, desgraciadamente están ganando popularidad otros métodos como:
- Haciéndose pasar por el juego Tetris, un grupo de hackers utilizó una versión de código abierto del juego de los 90 Tetris para ocultar la RAT PyXie e infectar a las organizaciones.
- A través de Facebook, una RAT llamada FlawedAmmyy infectó objetivos militares. Los investigadores descubrieron que una página falsa de Facebook que suplantaba al militar estadounidense-libio llamado Khalifa Haftar se centraba en contenidos relacionados con la política y el ejército, también adjuntaba URLs para descargar archivos que decían ser filtraciones de las unidades de inteligencia de Libia. Eso no es todo, algunas URLs se presentaban como sitios legítimos para que los ciudadanos se inscribieran en el ejército.
- El uso de una falsa invitación a una reunión de WebEx.
Los RATs se utilizan para multitud de usos nefastos
Una vez instalados, los hackers tienen un control remoto total sobre el sistema de la víctima, del que pueden abusar de muchas maneras. Algunos lo utilizan para recopilar información de inteligencia sobre objetivos militares y diplomáticos, otros para obtener los datos personales y de pago de los huéspedes de un hotel, y otros hackers toman el control para satisfacer sus deseos sexuales a través del voyeurismo, como el hombre del Reino Unido recientemente encarcelado por utilizar el RAT para espiar a sus víctimas utilizando la cámara web.
Conclusión
Así que los RAT son capaces, están disponibles y son excesivamente asequibles para hackear fácilmente las redes. Esto supone un reto para las organizaciones que necesitan protegerse contra esta amenaza. Lamentablemente, la mayoría de los mecanismos de prevención existentes no podrán identificar la RAT y evitar la infección porque la RAT sabe cómo permanecer bajo su radar. Del mismo modo, la mayoría de los mecanismos de seguridad de los puntos finales y la solución de red/perímetro no serán de gran ayuda para identificar las RAT.
La tecnología de aprendizaje automático de SecBI, basada en su algoritmo de análisis de clústeres, ha identificado y seguirá identificando los patrones de actividad de las RAT y alertando a los analistas sobre sus métodos de funcionamiento «bajos y lentos». Está de acuerdo en que es hora de actualizar su ciberdefensa para detectar y remediar rápidamente el malware «bajo y lento»?