Spesso utilizzati in maniera legittima dai dipendenti di imprese industriali per risparmiare risorse, i RAT (Remote Administration Tool) sono software che permettono a terzi di accedere a un computer da remoto.
Proprio per questa caratteristica, possono essere sfruttati anche da attori malevoli per ottenere un accesso nascosto e privilegiato ai computer presi di mira.
Secondo un report pubblicato da ICS CERT di Kaspersky Lab, i RAT sono molto diffusi in tutti i settori: quasi un terzo dei computer ICS protetti dai prodotti Kaspersky Lab hanno dei Remote Administration Tool installati.
Ancora più importante è che quasi un RAT su cinque viene fornito in bundle con il software ICS secondo impostazioni predefinite. Questo rende i RAT meno visibili agli amministratori di sistema e, di conseguenza, più interessanti per i cybercriminali.
Secondo la ricerca, gli utenti malintenzionati utilizzano software RAT per:
- Ottenere l’accesso non autorizzato a una rete presa di mira
- Infettare la rete con un malware per condurre attività di spionaggio, sabotaggio e ottenere profitti finanziari illegali sfruttando operazioni che coinvolgono i ransomware, o l’accesso alle risorse finanziarie attraverso le reti attaccate.
Controllo senza alcuna limitazione
La minaccia più significativa rappresentata dai RAT è la loro capacità di ottenere privilegi di rilievo nel sistema attaccato. In pratica, questo significa ottenere un controllo senza alcuna limitazione su una realtà industriale, che può, a sua volta, portare a significative perdite finanziarie, fino a condurre una vera e propria catastrofe dal punto di vista strutturale.
Tali capacità sono spesso acquisite attraverso un attacco base di tipo “forza bruta”, che consiste nel tentare di indovinare una password provando tutte le possibili combinazioni di caratteri finché non viene trovata quella corretta. La “forza bruta” è uno dei metodi più diffusi per assumere il controllo di un RAT, ma gli attaccanti possono anche trovare e sfruttare vulnerabilità all’interno del software stesso.
Ciò detto, le aziende non devono spaventarsi e rimuovere tutti i Remote Administration Tool dalle loro reti. Dopo tutto, sono applicazioni molto utili e che fanno risparmiare tempo e denaro.
La loro presenza su una rete dovrebbe, però, essere trattata con attenzione, in particolare sulle reti ICS che spesso fanno parte di infrastrutture critiche.
Consigli utili contro il rischio di attacco
Per ridurre il rischio di cyberattacchi che coinvolgono i RAT, Kaspersky Lab ICS CERT consiglia di mettere in atto le seguenti misure tecniche:
- Verificare l’utilizzo degli strumenti di applicazioni e sistemi RAT utilizzati nella rete industriale. Rimuovere tutti gli strumenti di amministrazione da remoto che non sono necessari per il processo industriale.
- Effettuare un audit e disabilitare i RAT forniti insieme al software ICS (fare riferimento alla relativa documentazione del software per istruzioni più dettagliate), purché non siano necessari per il processo industriale.
- Monitorare e registrare con attenzione gli eventi legati a ciascuna sessione di controllo da remoto richiesta dal processo industriale; l’accesso da remoto deve essere disabilitato di default e abilitato solo su richiesta e solo per periodi di tempo limitati.