ROMCOM-RATTE

Die ROMCOM RAT ist eine neuartige Malware-Bedrohung, von der angenommen wird, dass sie Teil des Arsenals einer cyberkriminellen Bande ist, die für Ransomware-Angriffe berüchtigt ist. Dieser neue Fernzugriffs-Trojaner scheint sich in rasanter Entwicklung zu befinden, wobei die neueren Versionen mit erweiterter Funktionalität und aufdringlichen Funktionen aufwarten. Details über die Bedrohungsfamilie wurden in einem Bericht des Threat Intelligence Teams Unit 42 von Palo Alto Networks enthüllt.

Ihren Erkenntnissen zufolge wurde die ROMCOM RAT von der cyberkriminellen Gruppe Tropical Scorpuis erstellt, den Betreibern von Cuba Ransomware (COLDDRAW). Die Ransomware-Bedrohung wurde bisher gegen 60 Opfer eingesetzt, die auf fünf wichtige Infrastruktursektoren verteilt sind. Von den Opfern, die auf der Datenleck-Website der Gruppe gefunden wurden, befinden sich 40 in den USA

Die ersten Versionen von ROMCOM RAT verfügten bereits über erhebliche Eindringfähigkeiten. Die Bedrohung war in der Lage, eine Reverse-Shell zu starten und Befehle auszuführen, ausgewählte Dateien zu löschen, Daten auf einen von den Bedrohungsakteuren kontrollierten Remote-Server zu exfiltrieren und eine Liste aller derzeit laufenden Prozesse auf den angegriffenen Geräten zusammenzustellen. Infosec-Forscher entdeckten jedoch schnell ein aktualisiertes Beispiel mit einem erheblich erweiterten Funktionsumfang. Das neuere ROMCOM-Sample erkannte insgesamt 22 Befehle und konnte nun zusätzliche Payloads an die Rechner der Opfer liefern, Screenshots aufnehmen und eine Liste mit allen installierten Anwendungen extrahieren.