Las autoridades eliminan la operación de malware RAT &#39Watch inminente&#39

Las agencias de aplicación de la ley de todo el mundo anunciaron hoy que derribaron la infraestructura del troyano de acceso remoto Imminent Keep track of (IM-RAT), una herramienta de pirateo que ha estado a la venta en línea durante los últimos seis años.

De acuerdo a una comunicado de prensa de Europol, la operación tuvo dos etapas. El primero ocurrió en junio de 2019, cuando las fuerzas policiales australianas y belgas registraron las casas del autor de IM-RAT y uno de sus empleados.

La segunda etapa tuvo lugar a principios de esta semana, cuando las autoridades retiraron el sitio net IM-RAT, sus servidores de fondo y arrestaron al autor del malware y a 13 de los usuarios más prolíficos de la herramienta.

Europol informó arrestos en Australia, Colombia, Chequia, Países Bajos, Polonia, España, Suecia y el Reino Unido.

Las autoridades también entregaron órdenes de búsqueda en 85 ubicaciones y confiscaron 430 dispositivos que creían que se usaban para propagar el malware.

La Agencia Nacional del Crimen del Reino Unido (NCA) tomó crédito por una buena parte de la recompensa, con 21 órdenes de allanamiento, nueve arrestos y más de 100 dispositivos incautados.

La historia de Inminent Keep track of RAT

La inminente Keep track of RAT fue creada en 2013 por un autor de malware que se llamaba Shockwave.

Period una de las muchas RAT desarrollado en las últimas dos décadas.

Al igual que la mayoría de las operaciones sospechosas de RAT, la herramienta se promocionó como una «herramienta de administración remota» legítima destinada a los administradores del sistema, sin embargo, se promocionó en foros de piratería exclusivamente para un nicho unique de compradores, a saber, los ciberdelincuentes.

La herramienta no period tan common en sus primeros años, pero cuando las autoridades arrestaron y eliminaron otras RAT (LuminosityLink, NanoCore, BlackShades, Orcus), los nuevos usuarios acudieron a IM-RAT en los últimos dos años.

Por ejemplo, en junio de 2018, Fortinet detectó un aumento en el uso de IM-RAT, cuando detectó una campaña dirigida a empresas rusas.

A nivel técnico, IM-RAT estaba a la par con las características ofrecidas en otras RAT y proporcionaba acceso a cosas como:

• Regulate de un escritorio remoto «con velocidades hiper rápidas que exceden los 50 FPS»
• Handle de cámaras world wide web remotas «con velocidades superiores a 60 FPS»
• Una función de registro de teclas en vivo
• Escuchar en conversaciones en tiempo true a través del micrófono de una computadora
• La capacidad de usar dispositivos infectados como servidores proxy y ocultar las acciones maliciosas del hacker contra otros objetivos
• Volcar contraseñas de una amplia gama de aplicaciones y robar contraseñas

El IM-RAT se publicitó en lugares como HackForums y se distribuyó y vendió a través de los ahora incautados. imminentmethods.internet sitio web, por solo $ 25.

Europol dijo que la herramienta tenía más de 14,500 compradores en 124 países y se había utilizado para infectar a decenas de miles de víctimas.

Una vez que Europol comenzó a entregar órdenes de allanamiento, incautar dispositivos y realizar arrestos, la operación no pasó desapercibida, y varios de los usuarios de RAT advirtieron a la comunidad de piratas informáticos sobre la incursión en curso.