I lettori come te aiutano a sostenere MUO. Quando effettui un acquisto utilizzando i link sul nostro sito, potremmo guadagnare una commissione di affiliazione. Per saperne di più.

Una nuova campagna di malware, nota come "Hiatus", prende di mira i router delle piccole imprese per rubare dati e spiare le vittime.

La nuova campagna malware "Hiatus" attacca i router aziendali

Una nuova campagna di malware, soprannominata "Hiatus", prende di mira i router di piccole imprese che utilizzano il malware HiatiusRAT.

Il 6 marzo 2023, la società di ricerca Lumen ha pubblicato un post sul blog che discuteva di questa campagna dannosa. Nel Post sul blog di Lumen, è stato affermato che "Lumen Black Lotus Labs® ha identificato un'altra campagna mai vista prima che coinvolge router compromessi".

HiatusRAT è un tipo di malware noto come a Trojan di accesso remoto (RAT). I trojan di accesso remoto vengono utilizzati dai criminali informatici per ottenere l'accesso remoto e il controllo di un dispositivo mirato. La versione più recente del malware HiatusRAT sembra essere in uso dal luglio 2022.

instagram viewer

Nel post sul blog di Lumen, è stato anche affermato che "HiatusRAT consente all'autore della minaccia di interagire da remoto con il sistema, e utilizza funzionalità predefinite, alcune delle quali sono molto insolite, per convertire la macchina compromessa in un proxy nascosto per il attore di minacce".

Utilizzando l'utilità della riga di comando "tcpdump"., HiatusRAT può intercettare il traffico di rete che passa sul router mirato, consentendo il furto di dati. Lumen ha anche ipotizzato che gli operatori malintenzionati coinvolti in questo attacco mirino a creare una rete proxy nascosta tramite l'attacco.

HiatusRAT si rivolge a specifici tipi di router

Il malware HiatusRAT viene utilizzato per attaccare i router VPN DrayTek Vigor a fine vita, in particolare i modelli 2690 e 3900 che eseguono un'architettura i386. Si tratta di router a larghezza di banda elevata utilizzati dalle aziende per fornire supporto VPN ai lavoratori remoti.

Questi modelli di router sono comunemente utilizzati dai proprietari di piccole e medie imprese, che sono particolarmente a rischio di essere presi di mira in questa campagna. I ricercatori non sanno come questi router DrayTek Vigor siano stati infiltrati al momento della scrittura.

Oltre 4.000 macchine sono risultate vulnerabili a questa campagna di malware a metà febbraio, il che significa che molte aziende sono ancora a rischio di attacco.

Gli aggressori prendono di mira solo alcuni router DrayTek

Di tutti i router DrayTek 2690 e 3900 connessi a Internet oggi, Lumen ha riportato un tasso di infezione di appena il 2%.

Ciò indica che gli operatori malintenzionati stanno tentando di mantenere la loro impronta digitale al minimo per limitare l'esposizione ed eludere il rilevamento. Lumen ha anche suggerito nel suddetto post sul blog che questa tattica viene utilizzata anche dagli aggressori per "mantenere i punti critici di presenza".

HiatusRAT rappresenta un rischio continuo

Al momento in cui scriviamo, HiatusRAT rappresenta un rischio per molte piccole imprese, con migliaia di router ancora esposti a questo malware. Il tempo dirà quanti router DrayTek sono stati presi di mira con successo in questa campagna dannosa.