Beheer

Security
Europol

Wat is IM-RAT en hoe werd het onklaar gemaakt?

Beheertool gaf criminelen veel controle over gekaapte pc's.

Europol hoofdkantoor Den Haag © Europol
2 december 2019

Beheertool gaf criminelen veel controle over gekaapte pc's.

Europol heeft vorige week met een aantal arrestaties het netwerk achter de Imminent Monitor Remote Access Trojan (IM-RAT) onschadelijk gemaakt.

Het ging om een enorme, gezamenlijke actie van opsporingsdiensten in Australië, Colombia, Nederland, Polen, Spanje, Tjechië, het Verenigd Koninkrijk en Zweden. Er werd op 85 plaatsen huiszoeking gedaan waarbij 430 computers en andere elektronica in beslag werden genomen. Ook de bedenker van IM-RAT is gearresteerd door Europol.

IM-RAT is een variant uit de familie van de remote management tool waarmee IT-afdelingen normaal ook hun netwerken beheren. Hij werd verspreid onder cybercriminelen voor een bedrag van 25 euro. In totaal zijn meer dan 14.500 instanties verkocht. Criminelen gebruikten IM-RAT om op vele tienduizenden pc's in te breken.

IM-RAT had een aantal interessante mogelijkheden voor de kwaadwillende:

  • Het op afstand overnemen van computers en webcams met een snelheid van meer dan 50 beelden per seconde.
  • Het loggen van toetsaanslagen
  • Het meeluisteren met de microfoon van de computer op afstand
  • Het inzetten van overgenomen computer om acties naar andere computers uit te voeren (proxy)
  • Het maskeren van de acties van de controlerende kwaadwillende
  • Het uitlezen van wachtwoorden van verschillende apps

Het hackersgereedschap werd al in 2013 gecreëerd door iemand die schuilgaat achter de naam Shockwave. De familie van RAT's bestaat uit tientallen varianten waarvan de eerste in 1989 werd gemaakt. Nadat andere RAT-varianten onschadelijk werden gemaakt, schakelden steeds meer criminelen de afgelopen jaren over op het gebruik van IM-RAT.

In juni dit jaar startte de jacht op de infrastructuur en het netwerk achter IM-RAT. Die eindigde vorige week met de reeks invallen waarbij de website en alle backend-servers werd uitgeschakeld. Shockwave en de 13 meest actieve gebruikers van het gereedschap werden gearresteerd.

Lees meer over Beheer OP AG Intelligence
1
Reacties
bnoniem 02 december 2019 19:51

vaag. in usa hebben ze bijna allemaal een wapen. en als er iemand dood geschoten word is het de houder van het wapen die berecht word. en niet de maker
waarom is het hier anders? Remote Administration Tools zijn er altijd al geweest startend met vnc.

Reactie toevoegen
De inhoud van dit veld is privé en zal niet openbaar worden gemaakt.