Estos son los riesgos críticos de seguridad para las organizaciones en 2021 Refactr RAT

El acrónimo RAT —Remote Access Tool— hace referencia a las herramientas que utilizan los equipos de soporte IT para la administración remota de infraestructuras informáticas. Algo así como, una forma centralizada de gestionar la tecnología de una organización.

Sin embargo, la última “T” del acrónico es susceptible de cambiar su buena intención si se sustituye por la palabra “Trojan”.

RAT

La limitada disponibilidad de recursos profesionales en localizaciones físicas donde se requiere soporte a infraestructura tecnológica ha hecho de la centralización una estrategia clave para los departamentos de IT. La optimización del tiempo de aquellos profesionales que resultan más escasos encuentra en la administración remota una herramienta de enorme utilidad.

Las aplicaciones de administración remota de equipos —RAT— proporcionan soporte centralizado a los dispositivos distribuidos en redes accesibles desde Internet. También incluimos en la definición aquellas que de forma autónoma actualizan versiones de software o modifican configuraciones de puestos de trabajo. Por ello, muchas de las herramientas que se comercializan en el mercado incluyen utilidades para conectarse a equipos con varios sistemas operativos.

La existencia de MSP —Managed Service Provider— o incluso de los MSSP —Managed Security Service Provider— se basa precisamente en la disponibilidad de este tipo de herramientas, útiles para compañías que se dedican a administrar plataformas tecnológicas de múltiples clientes con quien tienen externalizada la gestión de sus equipos.

RATj: Remote Access Trojan

Llegados a este punto, nos encontramos ante la evidencia de lo que conocemos como dualidad tecnológica, es decir, cómo una idea concebida para mejorar la prestación de servicios de operación IT se utiliza para vulnerar la seguridad de una compañía.

Los conocidos como RATj —Remote Access Trojan: añadámosle la “j” para diferenciarlos, aunque realmente no la tienen, lo que genera aún más ambigüedad en la terminología— son un tipo de malware que permite tomar el control de un sistema sin ser detectado por su usuario legítimo.

El acrónimo RAT —Remote Access Tool— hace referencia a las herramientas que utilizan los equipos de soporte IT para la administración remota de infraestructuras informáticas

Cuando un RATj se instala en un sistema proporciona al ciberdelincuente acceso ilimitado a los recursos del equipo. Pero no solo eso. También habilita puertas traseras que convierten a la víctima en un zombi que obedece las órdenes dictadas desde algún lugar remoto: se puede controlar su teclado y ratón, mantener sesiones remotas, acceder a web cams, descargar ficheros, ver lo que está haciendo el usuario legítimo, etc. Incluso se pueden crear redes de interconexión VPN a través de los equipos de las víctimas, como ocurrió en 2015 con una red VPN, conocida como Terracotta VPN, creada por un grupo de hackers chinos. Y todo ello con mecanismos ocultos bajo procesos casi indetectables.

Escalada de privilegios

Uno de los aspectos clave de este tipo de malware se conoce como LPE o “Escalada de Privilegios”: a partir de los permisos de un usuario, los ciberdelincuentes pueden acceder a privilegios de administrador del equipo y con ello a nuevos servicios y contenidos previamente limitados.

Son múltiples las herramientas, tanto comerciales como de software libre, que utilizan diferentes vulnerabilidades para escalar privilegios: en los sistemas Windows para saltarse los servicios de UAC —User Account Control— o en los sistemas Linux para acceder a servicios de super-usuario —conocido como “sudo”—, por poner un par de ejemplos. De hecho, muchos de los RATj que conocemos tienen automatizado algún mecanismo para obtener privilegios de administrador prácticamente sin ninguna interacción.

Vectores de ataque

Es evidente pues, que los RATj son la “navaja suiza” de la ciberdelincuencia. Con ellos son capaces de ejecutar casi cualquier acción.

Ahora bien, la instalación de un RATj en un equipo no es una tarea sencilla. Que un usuario o una organización permitan la descarga de un RATj en sus equipos no es evidente, aunque no por ello imposible. Los vectores de ataque son múltiples, desde vulnerabilidades no corregidas en los sistemas hasta simples intentos de phishing. Recientemente, leíamos como el software de instalación de un periférico como un simple ratón permitía, si se tenía acceso físico al equipo, escalar permisos de administrador sin ningún tipo de autorización previa.

Tres décadas de RATj

Y es que la presencia de RATj en Internet viene de largo. A medidos de 1990 aparecieron las primeras aplicaciones de acceso remoto (Nok, DIRT, NetBus, Back Orifice, SubSeven…). Se trataba de herramientas sencillas que solo pretendían mostrar algunas capacidades hasta ese momento inexploradas. Programas desarrollados simplemente como diversión. Actualmente la situación ha cambiado. Según algunos analistas, se han llegado a catalogar más de 300 tipos de RATj. Solo en los últimos diez años han aparecido más de 200 nuevas familias que se venden en el mercado entre los 30 y los 250 USD.

Se trata de herramientas que han sido, y son, ampliamente utilizadas en ciberataques de espionaje entre gobiernos. Gh0st es uno de los ejemplos más emblemáticos y afecto más de 1.200 ordenadores en un centenar de países. La lista de herramientas es extensa: Poison Ivy, DarkComet, Luminosity Link, etc. Todas ellas forman parte del arsenal de aplicaciones públicamente disponibles para actividades de vigilancia. Recientemente, un informe del servicio de ciber-amenazas de Cisco, Talos, avisaba de un ataque a través de correos electrónicos con ficheros adjuntos con NetwireRAT y WarzoneRAT a miembros gubernamentales y militares en países del entorno del continente asiático.

¿Cómo combatir los RATj?

Las recomendaciones para reducir la posibilidad de que un RAT se instale en nuestros equipos son simples (véase que volvemos referirnos a los RAT malos por el acrónimo con el que son realmente conocidos): no descargar nada de lugares que no son de confianza, mantener un sano pero riguroso escepticismo sobre el origen y las intenciones de los correos que recibimos, actualizar las infraestructuras de seguridad básicas como cortafuegos o antivirus, instalar las última versiones de las aplicaciones oficiales de los fabricantes o implantar mecanismos de doble autenticación para el acceso a servicios.

Sencillas, ¿verdad? Pues a veces, tras el análisis de las causas de un ciberataque, da la sensación de que son complicadas.

Por Juan José Galán, Business Strategy de All4Sec