Palo Alto Networks: Money Money Money - Ein schwedischer Teenager verkauft eine neue RAT
21. Oktober 2019 - Bei der Untersuchung der gängigen RATs (Remote Access Tools) entdeckten die Forscher von Unit 42, der Forschungsabteilung von Palo Alto Networks, im September eine neue, nicht dokumentierte "RAT", bei der fast 50 Proben in mehr als 2.200 Angriffssitzungen innerhalb des ersten Monats, in dem sie verkauft wurden, beobachtet wurden. In diesem Bericht dokumentieren wir den RAT-Manager/Builder, die Client-Malware und stellen den schwedischen Akteur dar, der dahintersteckt, sowie seine Werbemassnahmen und den Verkauf seiner Malware. Wir dokumentieren auch, dass diese RAT bereits bei böswilligen Angriffen in freier Wildbahn eingesetzt wird.
Fazit:
Commodity-RATs werden oft jahrelang im Internet verkauft. Ihre Autoren profitieren davon und ermöglichen böswilligen Akteuren, Tausende von Malware-Beispielen zu verbreiten, die mit ihren RAT-Entwicklertools erstellt wurden.
Die Möglichkeit, eine RAT innerhalb weniger Tage nach ihrer Entstehung zu erkennen und die Person die dahinter steckt zu identifizieren - in diesem Fall ein 18-jähriger Schwede - soll es den Behörden hoffentlich ermöglichen, rechtzeitig gegen solche Akteure und dessen Kunden vorzugehen. Unit 42 hat diese Person vollständig identifiziert. Seine Identität wird hier nicht preisgegeben, aber es wurde dafür gesorgt, dass die entsprechenden Behörden informiert wurden. Je länger solche Tools verkauft werden, desto mehr verschiedene dieser RAT's werden durch weitere Akteure gebaut und verbreitet. Es ist wichtig, den Verkauf solcher Malware so früh wie möglich zu erkennen und zu unterbinden, um ihre grossflächige Verbreitung zu verhindern.
Unternehmen mit gutem Spam-Filter, ordnungsgemässer Systemadministration und aktuellen Windows-Hosts haben ein wesentlich geringeres Infektionsrisiko. Palo Alto Networks-Kunden sind weiterhin vor dieser Bedrohung geschützt. Die Plattform von Palo Alto Networks zur Vorbeugung von Bedrohungen erkennt Blackremote-Malware mit Wildfire und Traps. AutoFocus-Benutzer können diese Aktivität mithilfe des Blackremote-Tags verfolgen.
Lesen Sie den ganzen Artikel:
Sie haben weitere Fragen? Sie benötigen eine Lösung zum Schutz vor solchen RAT's oder anderer Malware? Kontaktieren Sie uns.