ROMCOM RAT

De ROMCOM RAT is een nieuwe malwarebedreiging waarvan wordt aangenomen dat deze deel uitmaakt van het arsenaal van een cybercriminele bende die berucht is om zijn ransomware-aanvallen. Deze nieuwe Remote Access Trojan-bedreiging lijkt snel in ontwikkeling te zijn en de recentere versies bieden uitgebreide functionaliteit en opdringerige functies. Details over de dreigingsfamilie werden onthuld in een rapport van Palo Alto Networks' Unit 42 threat intelligence-team.

Volgens hun bevindingen is de ROMCOM RAT gemaakt door de cybercriminelengroep Tropical Scorpuis, de operators achter Cuba Ransomware (COLDDRAW). De ransomware-dreiging is tot nu toe ingezet tegen 60 slachtoffers, verspreid over vijf cruciale infrastructuursectoren. Van de slachtoffers die zijn gevonden op de dataleksite van de groep, bevinden zich er 40 in de VS

De eerste versies van ROMCOM RAT hadden al aanzienlijke inbraakmogelijkheden. De dreiging was in staat om een omgekeerde shell te starten en opdrachten uit te voeren, gekozen bestanden te verwijderen, gegevens te exfiltreren naar een externe server die wordt beheerd door de dreigingsactoren en een lijst samen te stellen van alle momenteel lopende processen op de geschonden apparaten. Infosec-onderzoekers ontdekten echter snel een bijgewerkte steekproef met een aanzienlijk grotere reeks functies. Het nieuwere ROMCOM-voorbeeld herkende in totaal 22 commando's en kon nu extra payloads leveren aan de machines van slachtoffers, screenshots maken en een lijst extraheren met alle geïnstalleerde applicaties.