La amenaza de las RAT, troyanos de acceso remoto

La amenaza de las RAT, troyanos de acceso remoto

Las herramientas de administración en remoto (Remote Access Tools o RAT, por sus siglas en inglés) pueden utilizarse para conectar un dispositivo en remoto en la red, pero no solo ver el contenido de la pantalla, sino también para tomar el control total, emitiendo comandos desde dispositivos de entrada en remoto (ratón/teclado en un ordenador; pantalla táctil en un smartphone).  En otras palabras, son herramientas de software legítimas que permiten a terceros acceder de forma remota a un equipo.

Las RAT se crearon con un buen objetivo, ayudar a gestionar ajustes y aplicaciones en remoto. Así, al personal del soporte técnico le resultaría mucho más fácil seleccionar las casillas y aplicaciones ellos mismos, que intentar explicar al usuario qué debe hacer por teléfono, quien le agradecería esta posibilidad.  Las RAT son a menudo utilizadas por los empleados de las empresas industriales para ahorrar recursos, pero (y aquí comienzan las dificultades) también pueden ser utilizadas por actores maliciosos para obtener acceso privilegiado a ciertos equipos de forma sigilosa.

En otras palabras, representan una seria amenaza para las redes industriales. Instaladas en el 31,6% de los equipos de sistemas de control industrial (ICS), a menudo pasan desapercibidas hasta que el equipo de seguridad descubre que los ciberdelincuentes han utilizado las RAT para instalar software de minería de ransomware o de criptomoneda, o bien para robar información confidencial e incluso dinero. Esta situación fue detectada por los analistas de seguridad de Kaspersky Lab cuando recientemente realizaron una investigación concreta sobre este problema.

Las RAT se crearon con un buen objetivo, ayudar a gestionar ajustes y aplicaciones en remoto

En un comunicado de Kasperky se recuerda, “En manos de cibercriminales, las RAT se convierten en armas realmente destructivas. Cuando una persona instala un troyano en su smartphone, está concediendo a un desconocido acceso en remoto a su dispositivo, es como si le entregaras las llaves de su casa a un extraño”.

El problema empieza a complicarse después de que el cracker se conecta a un dispositivo a través de una RAT, ya que a partir de ahí pueden hacer lo que quieran. Fisgonear en contraseñas y códigos, iniciar sesión en aplicaciones bancarias y transferir dinero y/o suscribirse a servicios no deseados por el usuario, con los fondos de la cuenta móvil o de su tarjeta de crédito, además de robar su correo electrónico, sus redes sociales y sus cuentas de mensajería instantánea para sacar dinero. Todo esto después de realizar una copia de sus fotos para poder chantajearle si alguna resulta demasiado privada.

Pero normalmente las RAT se utilizan para espionaje. Este tipo de malware permite a parejas celosas espiar a sus cónyuges, pero también se pueden utilizar para algo mucho más serio, como robar secretos corporativos. Por ejemplo, AndroRAT (detectada esta primavera) hace fotos sin consentimiento con la cámara del smartphone y registra audios (incluidas las conversaciones telefónicas). Además, roba también contraseñas del wifi según la localización geográfica. Por tanto, las negociaciones nunca son confidenciales y la penetración en la red de la oficina es una tarea sencilla.

Según otro informe publicado por Kaspersky Lab ICS CERT, las RATs están muy presentes en todas las industrias. De hecho,  casi un tercio de los equipos protegidos por los productos de Kaspersky Lab tienen instaladas RATs. Y, aún más importante, en uno de cada cinco casos, las RATs se incluyen por defecto en el software ICS. Esto las hace menos visibles para los administradores de sistemas y, en consecuencia, más atractivas para los actores de amenazas.

En manos de cibercriminales, las RAT, herramientas de acceso remoto se convierten en armas realmente destructivas

Según el estudio, los usuarios maliciosos utilizan las RATs para:

  • Obtener acceso no autorizado a la red objetivo;
  • Infectar la red con malware para llevar a cabo acciones de espionaje, sabotaje y hacerse ilegalmente con ganancias realizando operaciones de ransomware o accediendo a activos financieros a través de las redes atacadas.

Ahora bien, la amenaza más importante planteada por las RATs es su capacidad de lograr privilegios en el sistema atacado. En la práctica, significa obtener control ilimitado sobre una empresa industrial, lo que puede ocasionar importantes pérdidas financieras, así como desastres físicos. Estas capacidades se suelen conseguir a través de ataques de fuerza bruta básicas, que consisten en tratar de adivinar una contraseña probando todas las posibles combinaciones de caracteres hasta encontrar la correcta. Si bien la fuerza bruta es una de las formas más populares de tomar el control de unas RATs, los atacantes también pueden encontrar y explotar vulnerabilidades en el software de las mismas.

Kirill Kruglov, experto en seguridad de Kaspersky Lab
Kirill Kruglov, experto en seguridad de Kaspersky Lab

“El número de ICS con RAT es bastante preocupante, y muchas organizaciones ni siquiera sospechan lo grande que es el riesgo potencial asociado a las RATs. Un ejemplo, recientemente se han observado ataques a una compañía automovilística, donde uno de los ordenadores tenía instaladas RATs. Esto llevó durante varios meses a intentos frecuentes de instalar malware, con nuestras soluciones de seguridad bloqueando al menos dos de esos ataques cada semana. Si esa compañía no hubiera estado protegida por nuestro software de seguridad, las consecuencias habrían sido devastadoras. Sin embargo, esto no quiere decir que las empresas deben eliminar inmediatamente todo el software RAT de sus redes. Después de todo, estas aplicaciones son muy útiles, ahorran tiempo y dinero. Sin embargo, su presencia en una red debe ser tratada con cuidado, sobre todo en redes ICS, que a menudo son parte de instalaciones de infraestructuras críticas”, dijo Kirill Kruglov, analista senior de seguridad de Kaspersky Lab ICS CERT.

Para reducir el riesgo de ciberataques RAT, Kaspersky Lab ICS CERT recomienda: 

  • Auditar el uso de las herramientas de administración remota de aplicaciones y sistemas utilizados en la red industrial. Eliminar todas las herramientas de administración remota que no sean requeridas por el proceso industrial.
  • Realizar una auditoría y desactivar las herramientas de administración remota que vienen con el software ICS (consulte la documentación del software correspondiente para obtener instrucciones detalladas), siempre que el proceso industrial no lo necesite.
  • Monitorizar de cerca y registrar eventos para cada sesión de control remoto demandada por el proceso industrial; el acceso remoto debe estar deshabilitado de manera predeterminada y habilitado solo bajo petición y solo por periodos de tiempo limitados.

Dejar respuesta

Please enter your comment!
Please enter your name here

Este sitio usa Akismet para reducir el spam. Aprende cómo se procesan los datos de tus comentarios.