Acronis Threat Research Unit (TRU) meddelar idag att nya varianter av den avancerade open source-baserade skadliga koden Chaos RAT har identifierats i aktiva globala attacker.
Hotet är särskilt allvarligt för nordiska verksamheter på grund av regionens utbredda användning av Linux inom molninfrastruktur, inbyggda system och industriell IT.
Sårbar nordisk infrastruktur
De senaste versionerna av Chaos RAT utger sig för att vara nätverksverktyg och sprids genom social manipulation som riktar sig mot Linux-administratörer. Eftersom de nordiska länderna är världsledande i användningen av Linux – särskilt inom moln, inbyggda system och industriell teknik – löper verksamheter i regionen en förhöjd risk att drabbas.
– Nordiska företag står inför ett allvarligt hot på grund av sin avancerade Linux-baserade infrastruktur, säger Santiago Pontiroli, säkerhetsforskare vid Acronis TRU. – Från molnplattformar till styrsystem i industrin – regionens tekniska ekosystem gör att Chaos RAT:s plattformsoberoende kapacitet får särskilt stor genomslagskraft.
Tekniska egenskaper
Chaos RAT är utvecklat i Golang och erbjuder angripare bland annat:
- Kompatibilitet med både Windows och Linux
- Möjlighet till fjärrkommandon och filhantering
- Funktioner för datastöld och systemövervakning
- Webbläsarbaserade administrationspaneler för styrning av attacker
- Låg upptäckbarhet genom slumpmässiga konfigurationsfält
Att hacka hackarna
I en uppmärksammad upptäckt fann Acronis forskare kritiska sårbarheter i Chaos RAT:s egen infrastruktur (CVE-2024-30850 och CVE-2024-31839), vilket möjliggör för cybersäkerhetsexperter att kompromettera skadeprogrammets kontrollservrar.
Påverkan på nordiska verksamheter
Hotet är särskilt oroande för organisationer i Norden eftersom:
- Molninfrastruktur ofta bygger på Linux
- Inbyggda system inom IoT och industrin utgör många möjliga intrångspunkter
- Industriella styrsystem använder i allt högre grad Linux
- Fintech- och kryptosektorn utsätts för attacker med fokus på mining och datastöld
– Kombinationen av avancerad social ingenjörskonst och Nordens Linux-centrerade teknologiska infrastruktur innebär en ökad sårbarhet för regionala verksamheter, säger Gabor Molnar, malwareanalytiker vid Acronis TRU.
Förbättrat skydd
Acronis Cyber Protect Cloud identifierar nu Chaos RAT-varianter som ”Trojan.Linux.ChaosRAT.A”. De nya EDR-funktionerna för Linux erbjuder:
- Realtidsdetektering med MITRE ATT&CK-kartläggning
- Automatiserad sanering av komprometterade Linux-system
- Avancerade YARA-regler för proaktiv hotjakt
Rekommendationer till nordiska verksamheter:
- Förstärk övervakningen av Linux-miljöer, särskilt inom moln och industri
- Inför EDR-lösningar optimerade för blandade plattformar
- Utbilda IT-personal i social ingenjörskonst riktad mot systemadministratörer
- Granska och segmentera nätverksåtkomst till kritisk Linux-infrastruktur
Om Acronis
Acronis är ett globalt cybersäkerhetsföretag som erbjuder integrerade lösningar för dataskydd, IT-hantering och cyberskydd – särskilt utvecklade för managed service providers (MSP:er), små och medelstora företag samt större IT-avdelningar. Acronis lösningar är utformade för att effektivt identifiera, förebygga, upptäcka, åtgärda och återhämta sig från moderna cyberhot med minimal driftstörning – och säkerställer både dataintegritet och kontinuitet i verksamheten.
Acronis erbjuder marknadens mest heltäckande säkerhetslösning för MSP:er, med unika möjligheter att möta kraven i komplexa och distribuerade IT-miljöer. Företaget grundades i Singapore 2003 och har sitt huvudkontor i Schweiz. Acronis har idag 15 kontor globalt och medarbetare i över 50 länder. Flaggskeppsprodukten Acronis Cyber Protect finns tillgänglig på 26 språk, används i 150 länder och skyddar mer än 750 000 företag via över 21 000 tjänsteleverantörer. Läs mer på www.acronis.com.
