De groep achter het Gatak Trojan-virus blijft een gevaar vormen voor organisaties, met name voor zorginstellingen. Gatak maakt slachtoffers via websites die licentiesleutelgenerators aanbieden voor illegale software. In eerste instantie waren vooral instellingen in de Verenigde Staten slachtoffer, maar de afgelopen twee jaar hebben de criminelen hun werkgebied uitgebreid naar de rest van de wereld. Dit blijkt uit onderzoek van Symantec.
Het merendeel van de infecties, 62 procent, vindt plaats op bedrijfscomputers. Uit onderzoek blijkt dat bij recente aanvallen vooral de zorgsector het vaakst slachtoffer wordt. Van de twintig meest aangevallen bedrijven, is bijna de helft actief in de gezondheidszorg. In het verleden waren ook verzekeringsmaatschappijen vaak slachtoffer van Gatak-infecties. Slachtoffers worden geinfecteerd via websites die licentiesleutelgenerators voor illegale software aanbieden. De malware wordt gekoppeld aan de generator en geïnstalleerd als deze wordt gedownload.
De criminelen richten zich op licentiesleutelgenerators voor software die gebruikt wordt in professionele omgevingen. De websites worden beheerd door de cybercriminelen en hebben geen enkel verband met de softwareontwikkelaars. Het gaat om de volgende softwaremerken: SketchList3D, Native Instruments Drumlab, BobCAD-CAM, BarTender Enterprise Automation, HDClone, Siemans Simatec Step 7, Cadsoft Eagle Professional, Premiumsoft Navicat Premium, Originlab Originpro, Manctl Skanect en Symantec System Recovery.
Malware
De Gatak Trojan wordt gebruikt sinds 2011. Er zijn twee belangrijke componenten van de malware. Een operationele module, Trojan.Gatak.B, installeert extra payloads. De hoofdmodule, Trojan.Gatak, blijft op een geïnfecteerde computer aanwezig en steelt informatie ervan. Een belangrijk kenmerk van Gatak is het gebruik van steganografie, een techniek waardoor data verborgen kan worden in beeldbestanden. Wanneer Gatak geïnstalleerd is, probeert het een png-beeld vanuit de malware te installeren. De foto ziet er uit als een gewone foto, maar bevat een encrypted boodschap in de pixeldata. De Gatak Trojan ontcijfert deze boodschap die vervolgens malware-bestanden uitvoert.
In 62 procent van de gevallen verspreidt het virus zich binnen twee uur na de infectie door het netwerk. In de overige gevallen gebeurt dit later. Dit impliceert dat de verspreiding niet geautomatiseerd is en handmatig wordt geïnstalleerd door de criminelen. Wat hiervoor de oorzaak is, is niet bekend. Ook is onzeker hoe de criminelen het netwerk binnendringen. Waarschijnlijk lukt het hen via zwakke wachtwoorden en slecht beveiligde bestanden en netwerkschijven. In sommige gevallen infecteren de aanvallers computers met andere vormen van malware, zoals verschillende varianten van ransomware en de Shylock-versie van het Trojanvirus (Troja.Shylock.). Volgens de onderzoekers doen de aanvallers dit om veiligheidsspecialisten om de tuin te leiden.
Aard van de criminelen
Het is onbekend waarom de groep criminelen zich juist op de gezondheidszorg richt. De analisten vermoeden dat wellicht ook spionage een rol speelt. Ook is onduidelijk hoe de cybercriminelen profiteren van de aanvallen. Eén mogelijkheid is de diefstal van data, waarbij de aanvallers persoonlijke informatie en andere gestolen informatie verkopen in de ‘cyberonderwereld’. Dit zou ook de voorkeur voor de gezondheidszorg verklaren, omdat data uit deze branche meer marktwaarde heeft dan andere persoonlijke informatie.
Een andere reden waarom er gekozen is voor gezondheidsorganisaties kan volgens de onderzoekers zijn dat deze instellingen over weinig financiële middelen beschikken, waardoor medewerkers sneller geneigd zijn om illegale software te downloaden.