El nuevo malware Ramsay puede robar documentos confidenciales de redes con espacios de aire


ramsay.jpg

Imagen: ESET (suministrado)

Investigadores de la firma de seguridad cibernética ESET anunciaron hoy que descubrieron un marco de malware nunca antes visto con capacidades avanzadas que rara vez se ven hoy en día.

Nombrado Ramsay, ESET dice que este package de herramientas de malware parece haber sido diseñado para infectar computadoras con espacios de aire, recopilar Word y otros documentos confidenciales en un contenedor de almacenamiento oculto y luego esperar una posible oportunidad de exfiltración.

El descubrimiento de Ramsay es importante porque rara vez vemos malware que contenga la capacidad de saltar la brecha de aire, considerada la medida de protección de seguridad más estricta y efectiva que las empresas pueden tomar para proteger los datos confidenciales.

¿Qué son las redes con espacios de aire?

Los sistemas con espacios de aire son computadoras o redes que están aisladas del resto de la purple de una empresa y están aisladas de la Online pública.

Las computadoras / redes con espacio de aire a menudo se encuentran en las redes de agencias gubernamentales y grandes empresas, donde generalmente almacenan documentos de alto secreto o propiedad intelectual.

Obtener acceso a una pink con espacio de aire a menudo se considera el Santo Grial de cualquier violación de seguridad, ya que estos sistemas a menudo son imposibles de violar debido a la brecha de aire (falta de conexión a dispositivos cercanos).

El nuevo malware Ramsay puede saltar la brecha de aire

En un informe publicado hoy, ESET dijo que descubrió una cepa de malware rara que parece haber sido desarrollada específicamente para saltar la brecha de aire y llegar a redes aisladas.

Según lo que ESET ha podido obtener de las muestras de malware Ramsay que descubrió, los ataques con el package de herramientas Ramsay se han visto operando con el siguiente patrón:

  • La víctima recibe un correo electrónico con un archivo RTF adjunto.
  • Si la víctima descarga y ejecuta el documento, el archivo intenta usar las vulnerabilidades CVE-2017-1188 o CVE-2017-0199 para infectar al usuario con el malware Ramsay.
  • El módulo «colector» de Ramsay se inicia. Este módulo busca en toda la computadora de la víctima y reúne documentos de Term, PDF y ZIP en una carpeta de almacenamiento oculta.
  • El módulo «spreader» de Ramsay también se activa. Este módulo agrega una copia del malware Ramsay a todos los archivos PE (ejecutables portátiles) que se encuentran en unidades extraíbles y recursos compartidos de crimson.
  • El malware espera hasta que el atacante despliegue otro módulo que pueda filtrar los datos recopilados.

ESET dice que durante su investigación, todavía no pudo identificar ningún módulo de exfiltración Ramsay.

No obstante, ESET dice que el malware se ha utilizado en la naturaleza.

«Inicialmente encontramos una instancia de Ramsay en VirusTotal», dijo el investigador de ESET Ignacio Sanmillan. «Esa muestra se cargó desde Japón y nos llevó al descubrimiento de otros componentes y versiones del marco».

Ya se han visto tres versiones de Ramsay

ESET dijo que han podido rastrear tres versiones diferentes del marco de malware Ramsay, una compilada en septiembre de 2019 (Ramsay v1) y otras dos a principios y finales de marzo de 2020 (Ramsay v2.a y v2.b).

Sanmillan dijo que ESET descubrió «evidencia sustancial para concluir que este marco está en una etapa de desarrollo», y que los piratas informáticos todavía están jugando con el código.

Por ejemplo, los métodos de envío por correo electrónico han variado, y en las versiones recientes de Ramsay, el malware también recopilaba archivos PDF y ZIP, además de documentos de Term.

El investigador no ha hecho una atribución official de quién podría estar detrás de Ramsay. Sin embargo, Sanmillan dijo que el malware contenía una gran cantidad de artefactos compartidos con Retro, una cepa de malware desarrollada previamente por DarkHotel, un grupo de hackers cree que opera en interés del gobierno de Corea del Sur.

ramsay-retro.png "src =" https://zdnet4.cbsistatic.com/hub/i/2020/05/13/6aa9111f-4ff2-481d-8cb9-b695bf15c2a9/ramsay-retro.png

Similitudes de código Ramsay-Retro

Imagen: ESET



Enlace a la noticia unique