Conociendo el Troyano de Acceso Remoto Borat, una nueva triple amenaza única
La compañía de inteligencia de riesgos cibernéticos con sede en Atlanta, Cyble, descubrió un nuevo malware Troyano de Acceso Remoto (RAT). ¿Qué hace que este RAT en particular sea lo suficientemente distinto como para llevar el nombre de la creación cómica de Sacha Baron Cohen?
El malware RAT generalmente ayuda a los ciberdelincuentes a obtener el control completo del sistema de una víctima. Este les permite acceder a los recursos de la red, archivos y poder para usar el mouse y el teclado.
El RAT Borat va más allá de las características estándar y permite a los atacantes implementar ransomware y ataques DDoS. También aumenta la cantidad de ciberdelincuentes que pueden lanzar ataques, a veces apelando al mínimo común denominador. La funcionalidad añadida de llevar a cabo ataques DDoS hace que sea insidioso y un riesgo para las organizaciones digitales de hoy.
El ransomware ha sido el tipo de ataque principal más común durante más de tres años. Según un informe de IBM, REvil fue la variedad de ransomware más común y consistió en aproximadamente el 37% de todos los ataques de ransomware. El RAT Borat es una combinación única y poderosa de capacidades RAT, spyware y ransomware fusionadas en un solo malware.
RAT Borat: ¿Qué lo convierte en una triple amenaza?
Borat proporciona un panel para que los hackers malintencionados realicen actividades de RAT y la capacidad de compilar el binario de malware para ataques de ransomware en la máquina de la víctima. El RAT también incluye código para lanzar un ataque DDoS, ralentizar los servicios de respuesta a usuarios legítimos e incluso puede hacer que el sitio deje de funcionar
Sorprendentemente, el RAT Borat puede entregar un payload de ransomware a la máquina de la víctima para cifrar los archivos de los usuarios y exigir un rescate. El paquete también incluye un archivo ejecutable keylogger que monitorea las pulsaciones de teclas en las computadoras de las víctimas y las guarda en un archivo .txt para su exfiltración.
Las otras funcionalidades del malware Borat que lo hacen divertido o no tan divertido, son las siguientes:
- Un proxy inverso para proteger al hacker
- La capacidad de robar credenciales de navegadores o tokens de discord
- Introducir código malicioso en procesos legítimos
Para molestar o asustar a sus víctimas, Borat también puede realizar las siguientes acciones:
- Apagar y encender el monitor
- Ocultar/mostrar las funciones del escritorio, como el botón de inicio y la barra de tareas
- Reproducción de audio no deseado
- Encender/apagar la luz de la cámara web
El RAT Borat verifica si el sistema tiene un micrófono conectado y, de ser así, graba el audio de la computadora, que se guarda en otro archivo llamado “micaudio.wav”. De manera similar, el malware puede comenzar a grabar desde la cámara si descubre una cámara web en el sistema.
¿Deberían las empresas desarrollar una estrategia de respuesta sólida?
El panorama volátil creado por la pandemia ha llevado a que todas las industrias sean un objetivo potencial para conjuntos de malware preempaquetados como Borat. Todo lo que se necesita es que un empleado desprevenido haga clic accidentalmente en un enlace o archivo adjunto malicioso para dar acceso completo a los sistemas de su organización. Esto puede provocar que las operaciones se detengan hasta que se pague el rescate. La paralización de las operaciones conduce a enormes pérdidas financieras y físicas para la empresa.
La función de escritorio remoto, que se incluye en el malware Borat, puede causar estragos en cualquier negocio. Esto porque permite que el atacante elimine información crítica/derechos intelectuales, tome la versión del sistema operativo y el modelo de la máquina y robe las posibles cookies/credenciales de inicio de sesión guardadas.. Por lo tanto, las empresas deben estar atentas a la amenaza y prepararse para tales ataques.
Recomendaciones para una seguridad mejorada
Veamos las recomendaciones que mostramos a continuación para proteger tus redes contra el riesgo de ciberataques:
- Examinar el uso de herramientas de administración remota para aplicaciones y sistemas en la red industrial. Eliminar cualquier herramienta de administración remota que no sea necesaria para el proceso industrial
- Establecer una gestión segura de contraseñas y habilitar la autenticación multifactor
- Utilizar software antivirus de renombre y paquetes de seguridad de Internet
- Incluir una estrategia de respuesta para contener la amenaza inmediatamente
- Utilizar soluciones de almacenamiento flash y establecer las medidas pertinentes para realizar copias de seguridad de los datos. Esto ayudará a promover la continuidad operativa y reducir los costos de infraestructura.
- Evitar guardar archivos importantes en ubicaciones comunes como Escritorio y Mis documentos
- Emplear una solución de seguridad de software de correo electrónico que pueda clasificar y filtrar correos electrónicos maliciosos. Los empleados también pueden tener sesiones de capacitación periódicas para conocer las nuevas amenazas.
- Refinar y optimizar tu sistema de gestión de vulnerabilidades. Esto ayudará a tu organización a priorizar las vulnerabilidades de mayor preocupación.
Las organizaciones necesitan capacitar a sus empleados para comprender mejor el panorama actual de amenazas. Invertir en las tecnologías adecuadas y crear medidas de verificación sólidas puede garantizar que las personas adecuadas puedan acceder a los datos correctos. Resolver incidentes de manera rápida y eficiente en el acelerado mundo digital actual es imperativo.
En conclusión, las organizaciones que se preparan estratégicamente para las nuevas amenazas tendrán una experiencia positiva a largo plazo.