Blog

Qué es un RAT y por qué es tan peligroso

Qué es un RAT y por qué es tan peligroso

Si te conectas de forma habitual al ordenador del trabajo desde tu casa entonces probablemente estés familiarizado con la magia del acceso remoto. Cuando está habilitado, un técnico o cualquier persona autorizada puede abrir documentos, descargar e instalar software o incluso mover el cursor por la pantalla en tiempo real.

Un RAT (Remote Administration Tool) es un tipo de malware muy similar a los programas legítimos de acceso remoto, también llamadas herramientas administrativas.

La principal diferencia, es que un RAT se instala en un sistema sin el conocimiento del usuario.

Y no está pensado precisamente para dar soporte técnico ni para compartir archivos.

Su objetivo es robar datos, secuestrar una máquina, o tomar el control de un dispositivo para todo tipo de fines maliciosos.

Un RAT se compone de dos partes: un cliente y un servidor.

  1. El cliente es el programa instalado en la máquina del villano. Acostumbra a tener una interfaz gráfica de usuario con distintas opciones de control.
  2. El servidor es el programa instalado en la máquina de la víctima está oculto y no tiene interfaz gráfica.

Estos son algunos de los troyano de acceso remoto utilizados por la comunidad de ciberdelincuentes.

  • Cerberus: una de las herramientas favoritas de los piratas informáticos. aproximadamente 7,3 MB de memoria, por lo que no representa una carga en el sistema de destino.
  • CyberGate: herramienta de administración remota ligera y rápida con una amplia gama de funcionalidades, contenidas en un pequeño paquete. 
  • BitRATtroyano de acceso remoto que puede eludir el software antivirus y los detectores de phishing basados en correo electrónico. Una vez cargado, es capaz de controlar el sistema a través de servidores de comando y control.
  • Orcus RAT: esta variante RAT se ensambla en menos de 10 segundos, consume aproximadamente 15 MB de RAM y no crea procesos extraños en el sistema de destino.
  • NjRat Danger Edition: posiblemente es la mejor herramienta RAT gratuita. Cuenta con características avanzadas, entre ellas la capacidad de detenerse al detectar procesos específicos, compartir la pantalla de la víctima, deshabilitar el administrador de tareas y la imposibilidad de desinstalarlo.
  • PoisonIvy RAT: permite el registro de teclas, la captura de pantalla, la administración del sistema, la transferencia de archivos, el robo de contraseñas y la transmisión de tráfico.
  • Havex: este troyano ha sido ampliamente utilizado contra el sector industrial. Recopila todo tipo de información y luego la transmite al atacante.

Como la mayoría de los programas maliciosos, los RAT se enmascaran como archivos y programas legítimos.

Los delincuentes pueden camuflar un RAT en un archivo adjunto de un correo electrónico (los sospechosos habituales) o dentro de un paquete de software.

En enero de 2021, Zscaler ThreatLabZ descubrió nuevas instancias de un troyano de acceso remoto llamado MineBridge RAT incrustado en archivos de documentos de Word basados ​​en macros y diseñados para que parecieran currículums de aspirantes a un trabajo.

Los anuncios y las páginas web comprometidas también pueden contener RAT, pero la mayoría de las soluciones de seguridad, evitan las descargas automáticas desde los sitios web, y notifican cuando un sitio no es seguro.

Igual que pasa con otro tipo de software malicioso, puede ser difícil saber si hemos sido infectados por este tipo de troyano.

Un RAT no ralentizará nuestro sistema, y los piratas informáticos no se delatarán eliminando archivos, ni moviendo el cursor por la pantalla.

A no ser que se trate de un fenómeno paranormal, es poco probable que el  cursor del ratón se mueva por la pantalla sin nuestra intervención, o que el teclado empiece a funcionar de forma autónoma.

Como mucho notaremos una merma en la velocidad de Internet, pero con las velocidades de fibra actuales puede ser casi imperceptible.

En algunos casos, es posible estar infectado durante años sin notar nada.

Por regla general, el malware es más efectivo y funciona mejor cuando pasa desapercibido.

La mayoría de malware esta diseñado para un propósito en concreto.

Los registradores de teclas graban automáticamente todo lo que escribimos, el ransomware restringe el acceso al ordenador o a sus archivos hasta que paguemos un rescate, y el adware muestra publicidad para obtener ganancias.

Pero los RAT son especiales.

Le dan a los ciberdelincuentes un control completo y anónimo sobre el sistema infectado.

Como podéis imaginar, un pirata informático mediante un RAT puede hacer cosas bastante desagradables.

Cerberus rat

Entre otras acciones, pueden robar los archivos de un ordenador infectado, exfiltrar información confidencial, activar discretamente la webcam y el micrófono, capturar las pulsaciones del teclado, hacerse con información bancaria y las contraseñas asociadas, y espiar conversaciones privadas.

Y aún hay más.

Dado que los RAT otorgan a los piratas informáticos acceso con privilegios, son libres de alterar o eliminar cualquier archivo, borrar el disco duro, instalar malware etc.

Los villanos también pueden utilizar una pequeña red doméstica como servidor proxy para cometer delitos de forma anónima como por ejemplo realizar ataques DDOS, enviar spam o minería de Bitcoins.

Mediante un RAT, un ciberdelincuente puede incluso llegar a controlar centrales eléctricas, redes telefónicas, instalaciones nucleares, servidores de hospitales, gasoductos y otras infraestructuras críticas.

Por lo tanto no solo representan un riesgo para la seguridad de las redes corporativas y domésticas.

Algunos países han llegado a apreciar el poder de los RAT y las han integrado en su arsenal militar.

Pero no te preocupes: a nivel de usuario doméstico los RAT conocidos se pueden tratar de evitar e incluso eliminar

El software RAT solo se puede identificar una vez que está funcionando en el sistema, por lo tanto la mejor forma de gestionar el problema es la prevención.

Ten cuidado con el intercambio de archivos P2P.El contenido de estas descargas no tiene porque ser necesariamente malicioso, pero a los delincuentes les encanta añadirles sorpresas.

No descargues archivos de fuentes en las que no puedas confiar.

Mucha precaución con los cracks de software.

No abras archivos adjuntos de correo electrónico de extraños, y sospecha de los conocidos.

Descarga programas y juegos de los sitios web originales, y ten mucho cuidado con los archivos Torrent.

Mantén actualizado el software instalado en tu PC,  sobre todo el sistema operativo, con los últimos parches de seguridad.

Ten cuidado con los procesos desconocidos que se están ejecutando en el sistema.

Verifica de vez en cuando si hay cambios en los archivos.

Utiliza la cuenta de Administrador solo para casos puntuales.

Si no usas la opción de escritorio remoto en Windows 10, desactívala.

LLéva a reparar tu ordenador a un sitio de confianza: para un desaprensivo es muy fácil instalar un servidor mientras no estamos delante.

Detectar y eliminar RAT

Los sistemas antivirus no acostumbran a funcionar muy bien contra los RAT más complejos, ya que los métodos de ofuscación que utilizan los hacen muy difíciles de detectar.

A veces, la única solución para deshacerse de un RAT es eliminar todo el software y reinstalar el sistema operativo.

Pero dado que la mayoría de los piratas informáticos usan RAT conocidos (es más fácil y barato que desarrollar los suyos propios), el software antimalware es la mejor forma de encontrar y eliminar este tipo de amenaza.

Los fabricantes de software de seguridad tienen una extensa base de datos de RAT que se actualiza constantemente.

Los RAT de última generación que todavía no están en las bases de datos de las compañías que fabrican soluciones de seguridad, requieren muchos conocimientos, tiempo y esfuerzo para su desarrollo, y generalmente están reservados para su uso contra grandes corporaciones.

Estas últimas acostumbran emplear sistemas de detección de intrusos que puede estar basado en host o en red.

Los sistemas de detección de intrusos basados ​​en host (HIDS)  se instalan en un dispositivo específico, monitorean los archivos de registro y los datos de las aplicaciones en busca de signos de actividad maliciosa.

Los sistemas de detección de intrusiones basados ​​en la red (NIDS) rastrean el tráfico de la red en tiempo real, en busca de comportamientos sospechosos.

En cualquier caso, los troyanos de acceso remoto son sigilosos, peligrosos y pueden causar mucho daño tanto a personas como a organizaciones.

Después de un ataque RAT

El primer paso es desconectar el PC infectado de Internet para evitar que el bicho se conecte al centro de comando y control.

También es importante aislarlo de la red doméstica para impedir que se infecten el resto de dispositivos.

Cambia todas tus contraseñas usando otro dispositivo limpio, y comprueba si alguna de tus cuentas en línea ha sido comprometida.

Verifica tus cuentas bancarias en busca de transacciones fraudulentas, e informa inmediatamente a tu banco de que has sufrido este tipo de problema.

A veces es necesario modificar tus datos bancarios para que los villanos no puedan realizar cargos recurrentes.

Los RAT conocidos generalmente se pueden eliminar una vez que se detectan, sin embargo a veces es necesario tener que llevar a cabo una instalación nueva de Windows para eliminarlos por completo.

Temas:

Avisos de seguridad

Electronic Frontier Foundation

Air VPN

Sered Hosting

También te puede interesar

Cómo mantener tu dispositivo móvil a salvo del adware
habilitar y configurar la protección contra ransomware en Windows Defender
En qué consiste la minería maliciosa de criptomonedas
Qué es una máquina virtual y por qué son tan útiles
Qué es el catfishing y cómo puedes detectarlo