Noua amenințare cibernetică: Malware-ul Atlas RAT vizează firmele din Europa

În peisajul actual al amenințărilor informatice, companiile trebuie să fie mai vigilente ca niciodată. Recent, o grupare de hackeri monitorizată sub numele de TA4922 a extins aria de operare, vizând direct companii din Europa cu un set de instrumente malware sofisticate, printre care se numără și noul Atlas RAT. La Activ.NET, ne confruntăm constant cu întrebări din partea clienților noștri din Arad privind siguranța datelor în fața unor atacatori care folosesc metode tot mai diversificate. Acest nou val de atacuri nu vizează doar corporații gigant, ci și firmele mijlocii care dețin date financiare prețioase sau acces la rețele critice.

#Ce s-a intamplat

Gruparea TA4922, cunoscută anterior pentru activități în Asia, și-a intensificat operațiunile în Europa, vizând țări precum Germania, Italia și Marea Britanie. Aceștia folosesc tehnici de „phishing” extrem de bine lucrate, mascând mesajele malițioase sub forma unor notificări de salarizare, audituri fiscale, facturi sau comunicări HR. Mai mult, atacatorii folosesc instrumente precum RomulusLoader și SilentRunLoader pentru a injecta cod malițios și a extrage datele de autentificare din browsere. Un detaliu îngrijorător remarcat de experți este utilizarea probabilă a modelelor de limbaj (LLM) pentru a accelera scrierea codului virusului, ceea ce face ca atacurile să fie mai greu de detectat prin metodele tradiționale.

#Impact pentru firme

Pentru o firmă medie, impactul unui astfel de atac poate fi devastator. Atlas RAT nu este un simplu virus; el oferă atacatorilor capacități complete de supraveghere: înregistrarea tastelor apăsate (keylogging), capturi de ecran, acces la cameră și microfon, și furtul de fișiere critice. Aceasta înseamnă că informații despre clienți, strategii de business sau accesul la conturi bancare pot ajunge în mâinile hackerilor. În proiectele noastre, am observat că, odată ce un „backdoor” este instalat, restabilirea integrității rețelei este un proces costisitor și extrem de anevoios, care poate paraliza activitatea firmei pe perioade nedeterminate.

#Recomandari concrete

Pentru a bloca astfel de tentative înainte ca ele să ajungă la utilizatorul final, echipa Activ.NET recomandă următoarele acțiuni imediate:

1. Implementați filtrarea avansată a e-mailului: Blocați atașamentele cu macro-uri și executabile direct din gateway-ul de mail. Dacă aveți nevoie de un audit, putem discuta despre mentenanță prin serviciul nostru de Service IT pentru firme.
2. Activați MFA (Multi-Factor Authentication) obligatoriu: Asigurați-vă că fiecare cont de email sau VPN are MFA activat. Este cea mai ieftină și eficientă barieră împotriva furtului de credențiale prin SilentRunLoader.
3. Restricționați drepturile de administrator: Asigurați-vă că utilizatorii obișnuiți nu au drepturi de administrator pe stațiile de lucru. Acest lucru împiedică rularea majorității „loaderelor” și instalarea de software nesolicitat precum AnyDesk-ul folosit de hackeri.
4. Monitorizați traficul de rețea: Pentru infrastructuri complexe, un sistem de Administrare servere riguros poate detecta comportamentele neobișnuite din partea stațiilor de lucru către serverele de comandă ale atacatorilor.

#Concluziile noastre

Amenințările de tip RAT evoluează rapid, iar faptul că atacatorii folosesc acum AI pentru a-și rafina codul arată că nicio companie nu este complet în siguranță dacă se bazează doar pe soluții de securitate „din cutie”. La Activ.NET, credem că abordarea proactivă – bazată pe educația angajaților și configurarea corectă a politicilor de securitate – este singura cale de a naviga acest mediu digital ostil. Dacă sunteți o firmă din Arad și doriți să vă verificați nivelul de securitate, echipa noastră vă stă la dispoziție pentru a evalua infrastructura și a închide orice breșă potențială.

Inspirat din: BleepingComputer