Un estudio realizado ha identificado casi 500 malwares para 14 familias diferentes de troyanos de acceso remoto (RAT, por sus siglas en inglés), así como las redes corporativas que han infectado en los distintos países.
Un sistema de prueba de concepto diseñado para detectar troyanos de acceso remoto o RATs, el cual se basa en escaneos de red y metadatos recopilados entre el 2 de diciembre de 2018 y el 8 de enero de 2019, se descubrieron 481 servidores de comando y control (C2) utilizados por los atacantes para administrar sistemas informáticos comprometidos. La investigación se centró en tres troyanos en particular: Emotet, Xtreme RAT y ZeroAccess, casi 20 servidores de C2 administran las infecciones de Emotet, 30 controlan las infecciones de ZeroAccess y casi 70 controlan infecciones de xTreme RAT.
Los servidores detectados sólo comprenden una fracción de la amenaza en Internet porque la técnica no puede encontrar todos los servidores, la detección de cientos de servidores C2 para RAT, destaca la continua amenaza y muestra hasta qué punto los atacantes se han infiltrado en las redes corporativas. Una vez que los atacantes han comprometido un solo sistema dentro de una red, tienen acceso parcial para robar datos, instalar funcionalidades adicionales o infectar otros sistemas.
Los 19 servidores que administran Emotet, por ejemplo, se comunicaron con los sistemas infectados en al menos 26 organizaciones, principalmente en América Latina. El RAT, originalmente descubierto por las empresas de seguridad en 2014 cuando entregaba malware bancario, ahora se enfoca en una variedad de industrias, tales como automatización, energía, construcción, venta minorista y servicios públicos. El enfoque en América Latina es solo un contraste con la primera mitad de 2018, cuando Emotet se enfocó principalmente en objetivos en los Estados Unidos
Emotet evolucionó en 2018, pasando de un RAT centrado en el sector bancario a un programa que se utiliza como un infector de primera etapa, que luego permite colocar una variedad de módulos diferentes en un sistema comprometido.
En general, las empresas de seguridad están descubriendo que los troyanos se han más que duplicado en el último año. Mientras que los atacantes usan las redes infectadas para sus propios esquemas, a menudo también instalan el malware de otros grupos como un servicio o simplemente venden la capacidad de acceder a servidores corporativos a estados nacionales y otros agresores.
La capacidad de encontrar RAT utilizando metadatos de red podría ayudar a las empresas a detectar nuevas amenazas en sus redes, una técnica que utilice escaneos y metadatos de la red permitiría a las empresas identificar y bloquear más fácilmente el tráfico malicioso de la red a través de la monitorización.
La investigación arrojó las direcciones IP de los servidores C2 y los indicadores de compromiso para las RAT.
COMENTARIOS