Wat is IM-RAT en hoe werd het onklaar gemaakt?

Het ging om een enorme, gezamenlijke actie van opsporingsdiensten in Australië, Colombia, Nederland, Polen, Spanje, Tjechië, het Verenigd Koninkrijk en Zweden. Er werd op 85 plaatsen huiszoeking gedaan waarbij 430 computers en andere elektronica in beslag werden genomen. Ook de bedenker van IM-RAT is gearresteerd door Europol.

IM-RAT is een variant uit de familie van de remote management tool waarmee IT-afdelingen normaal ook hun netwerken beheren. Hij werd verspreid onder cybercriminelen voor een bedrag van 25 euro. In totaal zijn meer dan 14.500 instanties verkocht. Criminelen gebruikten IM-RAT om op vele tienduizenden pc's in te breken.

IM-RAT had een aantal interessante mogelijkheden voor de kwaadwillende:

• Het op afstand overnemen van computers en webcams met een snelheid van meer dan 50 beelden per seconde.
• Het loggen van toetsaanslagen
• Het meeluisteren met de microfoon van de computer op afstand
• Het inzetten van overgenomen computer om acties naar andere computers uit te voeren (proxy)
• Het maskeren van de acties van de controlerende kwaadwillende
• Het uitlezen van wachtwoorden van verschillende apps

Het hackersgereedschap werd al in 2013 gecreëerd door iemand die schuilgaat achter de naam Shockwave. De familie van RAT's bestaat uit tientallen varianten waarvan de eerste in 1989 werd gemaakt. Nadat andere RAT-varianten onschadelijk werden gemaakt, schakelden steeds meer criminelen de afgelopen jaren over op het gebruik van IM-RAT.

In juni dit jaar startte de jacht op de infrastructuur en het netwerk achter IM-RAT. Die eindigde vorige week met de reeks invallen waarbij de website en alle backend-servers werd uitgeschakeld. Shockwave en de 13 meest actieve gebruikers van het gereedschap werden gearresteerd.