La tripla minaccia informatica: Borat Rat
Recentemente una società statunitense di cyber risk intelligence ha scoperto un nuovo Remote Access Trojan (RAT). I malware RAT di solito aiutano i criminali informatici a ottenere il controllo completo del sistema di una vittima, consentendo loro di accedere alle risorse di rete, ai file, e a controllare periferiche come mouse e tastiera.
Il malware Borat RAT supera le tradizionali caratteristiche dei comuni RAT perché consente ai threat actor di distribuire ransomware e attacchi DDoS.
Inoltre, aumenta il numero di attori malevoli che possono lanciare attacchi. La funzionalità aggiuntiva di effettuare attacchi DDoS lo rende un rischio insidioso per le organizzazioni digitali di oggi. Il ransomware è il tipo di attacco più comune da oltre tre anni. Secondo un rapporto IBM, REvil è stato il ceppo di ransomware più comune, pari a circa il 37% di tutti gli attacchi ransomware.
Borat RAT è una combinazione unica e potente di funzionalità RAT, spyware e ransomware fuse in un unico malware.
Cosa rende Borat Rat una minaccia tripla?
Borat RAT offre agli hacker malintenzionati una dashboard per eseguire attività di malware RAT e la possibilità di portare attacchi DDoS e ransomware sul computer della vittima. Il RAT include infatti anche il codice per lanciare un attacco DDoS, rallentando i servizi di risposta per gli utenti legittimi o addirittura causando la messa offline del sito.
Borat RAT può inviare un payload ransomware al computer della vittima per criptare i file degli utenti e chiedere un riscatto. Il pacchetto include anche un file eseguibile keylogger che monitora i tasti premuti sui computer delle vittime e li salva in un file .txt per l’esfiltrazione.
Le altre funzionalità del malware Borat RAT includono:
- Un reverse proxy per proteggere l’hacker
- La capacità di rubare le credenziali dai browser o dai token di Discord
- L’introduzione di codici dannosi in processi legittimi
Borat RAT può anche eseguire le seguenti azioni per infastidire o spaventare le sue vittime:
- Spegnimento e accensione del monitor
- Nascondere/mostrare le funzioni del desktop come il pulsante di avvio e la barra delle applicazioni
- Riproduzione di audio indesiderato
- Accensione/spegnimento della luce della webcam
Borat RAT controlla se il sistema ha un microfono collegato e, in tal caso, registra l’audio dal computer, che viene salvato in un altro file chiamato “micaudio.wav”.
Allo stesso modo, il malware può iniziare a registrare dalla videocamera se viene rilevata una webcam sul sistema.
Le aziende hanno bisogno di una strategia di risposta affidabile
Il panorama instabile creato dalla pandemia ha fatto sì che ogni settore sia un potenziale bersaglio di malware preconfezionati come Borat.
Basta che un dipendente ignaro faccia accidentalmente clic su un link o un allegato dannoso per dare pieno accesso ai sistemi dell’organizzazione, oppure che venga ingannato da attività maligne di ingegneria sociale.
Una soluzione per evitare il più possibile questo inconveniente è affidarsi a un solido percorso di security awareness, come TelsySkills, volto a migliorare le conoscenze e ad insegnare le best practice di cybersecurity ai dipendenti. La mancanza di preparazione dei dipendenti può comportare l’interruzione delle operazioni fino al pagamento del riscatto. L’interruzione delle operazioni comporta enormi perdite finanziarie e fisiche per l’azienda.
Ad esempio, la funzione di remote desktop, inclusa nel malware Borat RAT, può creare scompiglio nelle aziende, in quanto consente threat actor di cancellare informazioni critiche e/o diritti intellettuali, di carpire la versione del sistema operativo e il modello della macchina, o anche di rubare potenziali cookie o credenziali di accesso salvate.
Pertanto, le aziende devono assolutamente tenere d’occhio la minaccia e prepararsi a contrastare tali attacchi. Uno degli strumenti che può aiutare le aziende a intercettare tempestivamente le minacce e a disporre di un panorama informativo completo è la Cyber Threat Intelligence.
Inoltre, perfezionare e ottimizzare il sistema di gestione delle vulnerabilità informatiche aiuterà l’organizzazione a stabilire le priorità delle vulnerabilità più preoccupanti e critiche.
Come farsi trovare pronti; le soluzioni CTI di Telsy
La Cyber Threat Intelligence (CTI) è la conoscenza che permette di prevenire e mitigare le minacce cyber al fine di migliorare la security posture delle organizzazioni e abilitare le opportune strategie di difesa.
La suite CTI di Telsy è composta da 4 servizi:
- Company Thrat Intelligence
- Early Warning
- Treat Investigation
- Threat Intelligence Feed & Platform
Attraverso il lavoro congiunto di analisti dedicati, capacità infrastrutturali e tecnologiche all’avanguardia e l’ausilio di tecniche e procedure best-of-breed, la suite CTI di Telsy permette di ridurre il rischio cyber preventivamente e proattivamente, fornendo al cliente report e aggiornamenti puntuali a supporto del suo perimetro di sicurezza.
Scopri di più su telsy.com
Claudio Di GiuseppeVedi tutti gli articoli
Diplomato in chimica a Roma, si laurea in sociologia per poi specializzarsi in comunicazione, valutazione e ricerca sociale. Si dedica allo studio di internet, della comunicazione digitale e del marketing, conseguendo un master negli Stati Uniti, a Los Angeles. Successivamente consegue un master di II livello in geopolitica e sicurezza globale, in Italia. Attualmente è Junior Communication Specialist per Telsy, Gruppo TIM. Collabora con la Croce Rossa Italiana come operatore volontario e operatore in attività di protezione civile (OPEM).