Si te conectas de forma habitual al ordenador del trabajo desde tu casa, entonces probablemente estés familiarizado con la magia del acceso remoto. Cuando está habilitado, un técnico o cualquier persona autorizada puede abrir documentos, descargar e instalar software o incluso mover el cursor por la pantalla en tiempo real.
Un RAT (Remote Administration Tool) es un tipo de malware muy similar a los programas legítimos de acceso remoto, también llamados herramientas administrativas.
La principal diferencia es que un RAT se instala en un sistema sin el conocimiento del usuario.
Y no está pensado precisamente para dar soporte técnico, trabajar desde casa, ni para compartir archivos.
Su objetivo es robar datos, secuestrar una máquina, o tomar el control de un dispositivo para todo tipo de fines maliciosos.
Un RAT se compone de dos partes: un cliente y un servidor.
- El cliente: es el programa instalado en la máquina del villano. Acostumbra a tener una interfaz gráfica de usuario con distintas opciones de control.
- El servidor: es el programa instalado en la máquina de la víctima, está oculto y no tiene interfaz gráfica.
Estos son algunos de los troyanos de acceso remoto utilizados por la comunidad de ciberdelincuentes.
- Cerberus: una de las herramientas favoritas de los piratas informáticos, ocupa aproximadamente 7,3 MB de memoria, por lo que no representa una carga en el sistema de destino.
- CyberGate: herramienta de administración remota, ligera y rápida con una amplia gama de funcionalidades, contenidas en un pequeño paquete.
- BitRAT: troyano de acceso remoto que puede eludir el software antivirus y los detectores de phishing basados en correo electrónico. Una vez cargado, es capaz de controlar el sistema a través de servidores de comando y control.
- Orcus RAT: esta variante RAT se ensambla en menos de 10 segundos, consume aproximadamente 15 MB de RAM y no crea procesos extraños en el sistema de destino.
- NjRat Danger Edition: posiblemente es la mejor herramienta RAT gratuita. Cuenta con características avanzadas, entre ellas la capacidad de detenerse al detectar procesos específicos, compartir la pantalla de la víctima, deshabilitar el administrador de tareas y la imposibilidad de desinstalarlo.
- PoisonIvy RAT: permite el registro de teclas, la captura de pantalla, la administración del sistema, la transferencia de archivos, el robo de contraseñas y la transmisión de tráfico.
- Havex: este troyano ha sido ampliamente utilizado contra el sector industrial. Recopila todo tipo de información y luego la transmite al atacante.
Como la mayoría de programas maliciosos, los RAT pueden enmascararse como archivos y programas legítimos.
Los delincuentes pueden camuflar un RAT en un archivo adjunto a un correo electrónico (los sospechosos habituales) o dentro de un paquete de software.
Un videojuego o una aplicación comercial pirateados pueden estar disponibles de forma gratuita en foros y páginas web porque se han modificado para incluir este malware.
En enero de 2021, Zscaler ThreatLabZ descubrió nuevas instancias de un infame troyano de acceso remoto llamado MineBridge RAT incrustado en archivos de documentos de Word basados en macros y diseñados para que parecieran currículums de aspirantes a un trabajo.
Los anuncios y las páginas web comprometidas también pueden contener RAT, pero la mayoría de las soluciones de seguridad, evitan las descargas automáticas desde los sitios web, y notifican cuando un sitio no es seguro.
Como saber si mi dispositivo ha sido infectado
Igual que pasa con otro tipo de software malicioso, puede ser difícil saber si hemos sido infectados por este tipo de troyano.
Un RAT no ralentizará nuestro sistema, y los piratas informáticos no se delatarán eliminando archivos, ni haciendo cosas como mover el cursor por la pantalla.
Como mucho notaremos una pequeña merma en la velocidad de Internet, pero con las velocidades de fibra actuales de hasta 1 GB, tanto de subida como de bajada, puede ser casi imperceptible.
En algunos casos, es posible estar infectado durante años sin notar nada.
Por regla general, el malware es más efectivo y funciona mejor cuando pasa desapercibido
Para intentar detectar la actividad este tipo de troyano, se puede utilizar una herramienta de detección y prevención de intrusiones en redes como por ejemplo Snort, Zeek o Suricata.
Pero el uso de estas herramientas es bastante complicado y requiere de ciertos conocimientos técnicos, y francamente, no tienen mucho sentido en una pequeña red doméstica.
Que puede hacer un RAT
Cada tipo de malware está diseñado para un propósito en concreto.
Los registradores de teclas graban automáticamente todo lo que escribimos, el ransomware restringe el acceso al ordenador o a sus archivos hasta que paguemos un rescate, y el adware muestra publicidad para obtener ganancias.
Pero los RAT son especiales.
Le dan a los ciberdelincuentes un control completo y anónimo sobre el sistema infectado.
Como podéis imaginar, un pirata informático mediante un RAT puede hacer cosas bastante desagradables.
Entre otras acciones, pueden robar los archivos de un dispositivo infectado, sustraer información confidencial, activar discretamente la webcam, capturar las pulsaciones del teclado, hacerse con información bancaria junto con las contraseñas asociadas, y espiar conversaciones privadas.
Y aún hay más.
Dado que los RAT otorgan a los piratas informáticos acceso con privilegios, son libres de alterar o eliminar cualquier archivo, borrar el disco duro, instalar malware, o descargar e implementar funciones adicionales sobre la marcha, para lograr sus objetivos.
Los villanos también pueden utilizar una pequeña red doméstica como servidor proxy para cometer delitos de forma anónima, como por ejemplo realizar ataques DDOS, enviar spam o minería de Bitcoins.
Mediante un RAT avanzado, un ciberdelincuente puede incluso llegar a controlar centrales eléctricas, cadenas de suministro, instalaciones nucleares, gasoductos y otras infraestructuras críticas.
Por lo tanto, no solo representan un riesgo para la seguridad de las redes corporativas y domésticas.
Algunos países han llegado a apreciar el poder de los RAT y las han integrado en su arsenal militar.
Pero no te preocupes: en el ámbito de los usuarios domésticos los RAT conocidos se pueden tratar de evitar e incluso eliminar
El software RAT solo se puede identificar una vez que está funcionando en el sistema, por lo tanto, la mejor manera de gestionar el problema es la prevención.
Ten cuidado con el intercambio de archivos P2P. El contenido de estas descargas no tiene por qué ser necesariamente malicioso, pero a los delincuentes les encanta añadirles sorpresas.
No descargues archivos de fuentes en las que no puedas confiar.
Mucha precaución con los cracks de software.
No abras archivos adjuntos a los correos electrónicos procedentes de extraños, y sospecha de los conocidos.
Descarga programas y juegos de los sitios web originales, y ten mucho cuidado con los archivos Torrent.
Mantén actualizado el software instalado en tu PC, sobre todo el sistema operativo, con los últimos parches de seguridad.
Ten cuidado con los procesos desconocidos o «exóticos» que se están ejecutando en el sistema.
Verifica de vez en cuando si hay cambios en los archivos.
Utiliza la cuenta de Administrador de Windows solo para casos puntuales.
Si no usas la opción de escritorio remoto en Windows: desactívala.
Busca comportamientos anormales: los RAT son troyanos que se hacen pasar por aplicaciones legítimas y pueden estar agregando funciones maliciosas a una aplicación real. Por ejemplo, el blog de notas no tiene por qué estar generando tráfico de red.
Lleva a reparar tu ordenador u otros dispositivos a un sitio de confianza: para un desaprensivo es muy fácil instalar un troyano mientras no estás delante.
Detectar y eliminar RAT
Los sistemas antivirus no acostumbran a funcionar muy bien contra los RAT más complejos, ya que los métodos de ofuscación que emplean los hacen muy difíciles de detectar.
Los RAT de última generación, que todavía no están en las bases de datos de las distintas compañías que fabrican soluciones de seguridad, requieren muchos conocimientos, tiempo y esfuerzo para su desarrollo, y generalmente están reservados para su uso contra grandes corporaciones.
Estas últimas acostumbran usar sistemas de detección de intrusos que puede estar basados en host o en red.
Pero dado que la mayoría de los piratas informáticos utilizan RAT conocidos (es más fácil y barato que desarrollar los suyos propios) las redes domésticas y las de pequeñas empresas pueden beneficiarse del software antimalware para encontrar y eliminar este tipo de amenaza.
Los fabricantes de software de seguridad tienen una extensa base de datos de RAT que se actualiza constantemente.
Los RAT conocidos generalmente se pueden eliminar una vez que se detectan, sin embargo, a veces es necesario tener que llevar a cabo una instalación nueva de Windows para acabar con ellos por completo.