ROMCOM SZCZUR

ROMCOM RAT to nowe zagrożenie złośliwym oprogramowaniem, które uważa się za część arsenału cyberprzestępczego gangu, znanego z ataków ransomware. Wydaje się, że to nowe zagrożenie trojanem zdalnego dostępu jest szybko rozwijane, a nowsze wersje mogą pochwalić się rozszerzoną funkcjonalnością i inwazyjnymi funkcjami. Szczegóły dotyczące rodziny zagrożeń zostały ujawnione w raporcie opracowanym przez zespół ds. wywiadu ds. zagrożeń Palo Alto Networks z jednostki 42.

Według ich ustaleń, ROMCOM RAT został stworzony przez grupę cyberprzestępczą Tropical Scorpuis, operatorów stojących za Cuba Ransomware (COLDDRAW). Zagrożenie ransomware zostało do tej pory wykorzystane przeciwko 60 ofiarom w pięciu kluczowych sektorach infrastruktury. Spośród ofiar znalezionych na stronie wycieku danych grupy, 40 znajduje się w USA

Początkowe wersje ROMCOM RAT miały już znaczne możliwości włamań. Zagrożenie było w stanie uruchomić odwrotną powłokę i wykonywać polecenia, usuwać wybrane pliki, eksportować dane na zdalny serwer kontrolowany przez cyberprzestępców oraz skompilować listę wszystkich aktualnie uruchomionych procesów na złamanych urządzeniach. Jednak badacze infosec szybko wykryli zaktualizowaną próbkę ze znacznie zwiększonym zestawem funkcji. Nowsza próbka ROMCOM rozpoznała łącznie 22 polecenia i mogła teraz dostarczać dodatkowe ładunki do komputerów ofiar, przechwytywać zrzuty ekranu i wyodrębniać listę zawierającą wszystkie zainstalowane aplikacje.