ResolverRAT-haittaohjelma välttää havaitsemisen ja iskee lääke- ja terveydenhuoltoalan yrityksiin

ResolverRAT, salakavala tiedostoton haittaohjelma, kohdistaa phishing-pohjaisia hyökkäyksiä terveydenhoito- ja lääketeollisuuteen, varoittaa Morphisec Labs.

Vaarallinen uusi haittaohjelman muunnelma nimeltä ResolverRAT on paljastunut Morphisec Labsin toimesta, ja sitä käytetään jo kohdistetuissa kyberhyökkäyksissä terveydenhuolto- ja lääkealan organisaatioita vastaan ympäri maailmaa.

Morphisec raportoi, että ResolverRAT on etäkäyttötroijalainen (RAT), joka on suunniteltu välttämään havaitseminen ja analysointi. Toisin kuin perinteinen haittaohjelma, ResolverRAT toimii kokonaan muistissa eikä jätä tiedostoja levylle, mikä tekee siitä paljon vaikeammin havaittavissa perinteisillä virustorjuntatyökaluilla.

Uhka havaittiin ensimmäisen kerran hyökkäyksissä Morphisecin asiakkaita vastaan, erityisesti terveydenhuoltoalalla, viimeisimmän aallon tapahtuessa 10. maaliskuuta 2025.

Tutkijat selittävät, että ResolverRAT käyttää erittäin uskottavia kalasteluviestejä useilla eri kielillä huijatakseen yritysten työntekijöitä lataamaan tartunnan saaneita tiedostoja. Sähköpostit uhkaavat oikeudellisilla seuraamuksilla, kuten tekijänoikeusrikkomuksilla, pakottaakseen vastaanottajat napsauttamaan.

”Nämä kampanjat heijastavat jatkuvaa suuntausta erittäin paikallistettuun kalasteluun”, Morphisec huomauttaa, selittäen, että kielen ja teemojen mukauttaminen maittain lisää jonkun lankeamisen huijaukseen mahdollisuutta.

Kun se on päässyt järjestelmään, ResolverRAT lataa piilotetun haittaohjelman DLL-sivulatausmenetelmää käyttäen, usein naamioituna lailliseksi sovellukseksi. Tämä sallii haittaohjelman hiipiä sisään herättämättä hälytyksiä.

Haittaohjelma käyttää vahvaa salausta ja hämärtämistekniikoita peittääkseen todellisen tarkoituksensa. Se toimii vain tietokoneen muistissa, välttää normaalien järjestelmätiedostojen käyttöä ja luo jopa vääriä sertifikaatteja ohittaakseen turvallisen verkon seurannan.

Sen suunnitteluun sisältyy useita menetelmiä pysyä piilossa ja aktiivisena, vaikka jotkut niistä estettäisiinkin. Se asentaa itsensä järjestelmän eri osiin ja käyttää vaihtuvaa palvelinluetteloa sekä salattua viestintää välttääkseen havaitsemisen.

Morphisec varoittaa, että ResolverRAT näyttää olevan osa globaalia toimintaa, jolla on yhtäläisyyksiä muihin tunnettuihin kyberhyökkäyksiin. Yhteiset työkalut, tekniikat ja jopa identtiset tiedostonimet viittaavat koordinoituun ponnistukseen tai jaettuihin resursseihin uhkaryhmien kesken.

”Tämä uusi haittaohjelmien perhe on erityisen vaarallinen terveydenhuollon ja lääkealan yrityksille, koska ne hallinnoivat arkaluonteista tietoa”, Morphisec sanoi.

Taistellakseen uhkia, kuten ResolverRAT, vastaan Morphisec suosittaa Automaattista Liikkuvan Kohteen Puolustusta (AMTD), joka estää hyökkäykset jo varhaisimmassa vaiheessa muuttamalla jatkuvasti hyökkäyspintaa, mikä tekee haittaohjelmien kohteen löytämisestä vaikeampaa.

ResolverRAT on selkeä esimerkki siitä, kuinka monimutkainen kyberrikollisuus kehittyy – ja miksi kriittisten sektoreiden, kuten terveydenhuollon, täytyy pysyä aina askeleen edellä.