Ez a károkozó a kórházakat sem kíméli

​A Gatak trójai továbbra is töretlenül ostromolja a vállalatokat, illetve az egészségügyi intézményeket. A célja, hogy minél több feketepiacon értékesíthető adathoz juttassa a terjesztőit.
 

A Gatak - vagy más néven Stegoloader - trójai 2011 óta meghatározó szereplője a kártékony programok világának. Amióta létezik, azzal a céllal terjed és fertőz, hogy az áldozatává váló számítógépekről minél több értékes adatot szivárogtasson ki. A kockázatait tovább fokozza, hogy gyakorta célzott támadásokban jut szerephez, és ilyen módon az ellene folytatott védekezés is nehezebb. 

A trójai egyik legfontosabb jellemzője, hogy az egészségügyi szektor szereplőit kiemelt célpontként kezeli. Noha nem veti meg a vállalati rendszereket sem, a fertőzéseinek egy jelentős részében kórházaknak, illetve egyéb egészségügyi intézményeknek okoz komoly fejtörést. A Symantec vizsgálatai szerint a károkozó által legjobban sújtott 20 szervezet 40 százaléka az egészségügyben tevékenykedik, ami mutatja, hogy kiemelt szektorról van szó a Gatak szempontjából. Ugyanakkor megjegyzendő, hogy a trójai a biztosításokkal foglalkozó cégeket sem kíméli. 

Terjedés kalózók módjára

A Gatak az esetek többségében megtévesztésekre épülő technikák révén éri el, hogy a felhasználó saját kezűleg indítsa el a hozzá tartozó, fertőzött fájlt. Ez gyakorta úgy történik, hogy a vírusterjesztők kalóz szoftverekhez való kulcsokat ígérnek. Amikor a felhasználó a káros állományt megnyitja, akkor a gépe azonnal megfertőződhet. A Gatak számos szoftver nevével él vissza, és próbál kalózkodásban segédkezni. Az általa terjesztett termékkulcsok vélhetőleg nem működőképesek, csak megtévesztést szolgálnak. Néhány alkalmazás, amikhez a Gatak "nagylelkűen" ajánl kulcsokat:

• SketchList3D
• Native Instruments Drumlab
• BobCAD-CAM
• BarTender Enterprise Automation 
• HDClone 
• Siemens SIMATIC STEP 7
• CadSoft Eagle Professional
• PremiumSoft Navicat Premium
• Originlab Originpro
• Manctl Skanect 
• Symantec System Recovery 

A Gatak alapvetően két összetevőből épül fel. Az egyik rendszerinformációkat gyűjt és egyéb kiegészítőket telepít. A főmodul pedig felel az adatlopás támogatásáért és a hátsó kapu kiépítéséért. A trójai fontos jellemzője, hogy a terjesztői által kiadott utasításokat - esetenként akár komplett fájlokat - PNG-formátumú állományokba rejti, azaz szteganográfiai módszereket is bevet, hogy leplezze a jelenlétét.

A trójai eddig vizsgált variánsai nem képesek önálló terjedésre, de távolról, manuálisan révehetők, hogy egyéb számítógépekre is felkerüljenek. Ehhez jelenleg nem használnak exploitokat, inkább a gyenge hitelesítő adatokkal ellátott rendszerekre, hálózati megosztásokra apellálnak. A Symantec szerint a támadások 62 százalékának esetében ez a fajta továbbterjedés 2 órán belül kezdetét veszi. Amikor már nem számít annyira a láthatatlan működés, akkor előfordul, hogy a Gatak zsaroló programokkal történő fertőzést is előidéz, vagy telepíti a Shylock nevű banki trójait.

A biztonsági szakemberek szerint a Gatak elsősorban a lopott adatok feketepiacon történő értékesítésével támogatja a kiberbűnözőket, akik az egészségügyi adatokon még magasabb áron tudnak túladni. 

"Az egészségügyi intézmények esetében gyakran megfigyelhető, hogy nagy nyomás alatt működnek, sokszor szűkös erőforrásokkal, miközben drága szoftverekkel dolgoznak. Ezért az alkalmazottjaik körében nagyobb valószínűséggel lehet elérni, hogy kalóz szoftvereket telepítsenek. A Gatak arra hívja fel a figyelmet, hogy a nem jogtiszta szoftverek nem kizárólag jogi következményeket vonhatnak maguk után, hanem komoly biztonsági kockázatot is jelentenek. Ezért a szervezeteknek rendszeresen szoftverauditokat kell végezniük a hálózataikban, és tudatosítaniuk kell a munkavállalóikban a kalóz programok veszélyeit"

- vélekedtek a Symantec szakemberei.