Dikkatini sağlık sektörüne çeviren siber tehdit gruplarının sayısı her geçen gün artıyor. Kötü şöhretli PlugX zararlı yazılımı, Vietnam’daki ilaç şirketlerinde tespit edildi. Yazılım değerli ilaç formüllerini ve ticari bilgileri çalmayı hedefliyordu. PlugX iyi bilinen bir uzaktan erişim aracı (Remote Access Tool – RAT).
Genellikle hedef odaklı kimlik avı yöntemiyle yayılan bu zararlı yazılım daha önce askeri, devlete ait ve siyasi kurumlara yönelik hedefli saldırılarda tespit edilmişti. Bu araç aralarında Deep Panda, NetTraveler veya Winnti’nin yer aldığı bir dizi Çince konuşan siber tehdit grubu tarafından kullanılmıştı. 2013’te ise çevrimiçi oyun endüstrisindeki şirketlere yönelik saldırılardan sorumlu olan Winnti’nin, PlugX’i Mayıs 2012’den beri kullandığı anlaşılmıştı. Winnti ayrıca ilaç şirketlerine yapılan saldırılarda da yer almıştı. Bu saldırılarda amaç, tıbbı ekipmanlardan ve yazılım üreticilerinden dijital sertifikalar çalmaktı.
PlugX RAT ile saldırganlar, kullanıcı izni veya yetkilendirmesi olmadan sistemde çeşitli zararlı işlemler yapabiliyorlar. Bunların arasında dosyaları kopyalayıp değiştirmek, basılan tuşları kaydetmek, parolaları çalmak ve kullanıcı aktivitelerinin ekran görüntüsünü almak gibi işlemler de bulunuyor. Diğer RAT’lar gibi PlugX de siber suçlular tarafından hassas veya kârlı bilgileri çalmak için kullanılıyor.
İlaç şirketlerine yönelik saldırılarda RAT kullanımının artması, üst düzey APT (Gelişmiş Kalıcı Tehdit) gruplarının sağlık sektöründen para kazanmaya odaklandıklarını gösteriyor.