Nuevo marco de ciberespionaje llamado Ramsay


El marco está diseñado para recopilar y filtrar documentos confidenciales de redes con espacios de aire.

Los investigadores han encontrado un nuevo marco de ciberespionaje desarrollado para recolectar y filtrar archivos confidenciales de redes con espacios de aire no conectados a World wide web. Este marco, llamado Ramsay, ha pasado por varias iteraciones a medida que sus desarrolladores prueban nuevos enfoques para atacar.

El equipo de investigación de la empresa de seguridad cibernética ESET descubrió su primer componente Ramsay a principios de este año cuando un archivo cargado en VirusTotal llamó su atención, dice Alexis Dorais-Joncas, jefe del equipo de investigación de ESET en Montreal. Los investigadores no saben con precisión cuánto tiempo Ramsay ha estado activo Sin embargo, no creen que el marco se haya utilizado antes de finales de 2019.

Esta muestra inicial se cargó desde Japón y llevó al equipo de investigación a encontrar más versiones y componentes de Ramsay. El equipo también encontró «evidencia sustancial» que indica que el marco todavía estaba en desarrollo, con sus operadores aún ajustando los vectores de entrega de Ramsay.

La telemetría de ESET muestra que Ramsay solo tiene un pequeño grupo de víctimas. Esto refuerza la creencia del equipo de que el marco aún está en desarrollo Sin embargo, la baja visibilidad de las víctimas también podría atribuirse al descubrimiento de que los sistemas específicos de Ramsay se encuentran en redes con espacios de aire no conectados a Web. Hasta ahora, está claro que Ramsay es una nueva forma de malware No está claro quién está detrás de esto.

«Intentamos conectar a Ramsay con grupos existentes / actores de amenazas, pero no surgió nada a pesar de nuestros mejores esfuerzos», explica Dorais-Joncas. «Sabemos que Ramsay es un nuevo malware, pero no sabemos si es el trabajo de un grupo existente que creó una nueva herramienta o de un grupo nuevo».

El equipo no ha podido confirmar ningún detalle relevante sobre los objetivos o víctimas de Ramsay desde el punto de vista de la geolocalización o la industria, continúa, y señala que la carga de VirusTotal no ofrece información más exacta. «El hecho de que este marco nunca fue documentado y atribuido a un actor conocido hace que sea aún más difícil determinar los objetivos reales», dice. La publicación de estos hallazgos podría llamar la atención sobre la amenaza y ayudar a los investigadores a descubrir información adicional.

La intención de Ramsay es el espionaje, explica Dorais-Joncas. El hecho de que esté diseñado para funcionar sin conectividad a Internet indica que está diseñado para usarse en entornos altamente restringidos o sistemas con espacios de aire, que generalmente protegen la información de alto valor. El marco está diseñado para ejecutarse durante un largo período de tiempo, durante el cual monitorea las unidades extraíbles y los recursos compartidos de la purple en busca de nuevos documentos para robar hasta que ocurra una exfiltración, dice.

«El nivel de detalle y complejidad implementado en varias partes de Ramsay es muy alto», agrega Dorais-Joncas. «La forma en que los archivos robados se almacenan juntos de forma encubierta y distribuida en el sistema de archivos hasta que se create la exfiltración es un buen ejemplo de eso».

Capacidades internas y vectores de ataque de Ramsay
Los investigadores encontraron tres versiones de Ramsay, todas las cuales contienen las mismas capacidades centrales pero tienen diferentes niveles de complejidad y sofisticación. Todas las iteraciones del marco se crean para recopilar documentos de Phrase y controlarlos mediante un protocolo basado en archivos.

El objetivo principal de Ramsay es recopilar todos los documentos existentes de Microsoft Phrase en un sistema de archivos de destino. Los documentos de Term se recopilan y almacenan primero en un directorio de recopilación preliminar, cuya ubicación depende de la versión de Ramsay. «Dependiendo de la versión de Ramsay, la recopilación de archivos no se limitará a la unidad del sistema local, sino que también buscará unidades adicionales, como unidades de pink o extraíbles», explican los investigadores de ESET en un redacción de sus hallazgos.

A diferencia de la mayoría del malware, Ramsay no tiene un protocolo de comunicación de comando y command basado en la pink, ni intenta conectarse a un host remoto para las comunicaciones. Analiza todos los recursos compartidos de crimson y unidades extraíbles en busca de posibles archivos de control. Primero, busca documentos de Term en iteraciones más recientes, Ramsay también busca archivos PDF y archivos ZIP.

En su publicación de blog, los investigadores señalan que existe una correlación entre las unidades de destino que Ramsay escanea en busca de propagación y recuperación de documentos de command. «Esto evalúa la relación entre las capacidades de difusión y control de Ramsay que muestran cómo los operadores de Ramsay aprovechan el marco para el movimiento lateral, denotando la probabilidad de que este marco haya sido diseñado para operar dentro de redes con espacios de aire», explican.

Las diferencias entre las iteraciones de Ramsay son sutiles Sin embargo, Dorais-Joncas señala que hay un mayor refinamiento de sus técnicas de persistencia junto con el uso de más componentes, como un rootkit, en la versión 2. Hay dos instancias de la versión 2, una de las cuales (2.a) contiene un separador y es disfrazado de una aplicación troyana benigna. El otro (2.b) usa un archivo malicioso para descartar el agente de Ramsay, y no hay un spreader involucrado.

«Interpretamos esto como actores de amenazas detrás de este marco que pueden estar manteniendo varias versiones de Ramsay diseñadas para víctimas específicas y escenarios de ataque», explica.

Los investigadores descubrieron que los desarrolladores de Ramsay a cargo de los vectores de ataque están probando diferentes técnicas, como los viejos exploits para las fallas de Windows de 2017, así como el despliegue de aplicaciones maliciosas entregadas a través de correos electrónicos de spearphishing. Esta es otra indicación de que los operadores tienen una comprensión previa de los entornos de las víctimas y eligen los vectores de ataque en consecuencia.

Contenido relacionado:

Aprenda de los expertos de la industria en un entorno propicio para la interacción y la conversación sobre cómo prepararse para eso «realmente mal día «en ciberseguridad. Haga clic para más información y para registrarse.

Kelly Sheridan es la Editora de private de Darkish Examining, donde se enfoca en noticias y análisis de seguridad cibernética. Ella es una periodista de tecnología de negocios que informó anteriormente para InformationWeek, donde cubrió Microsoft, y Insurance & Technological know-how, donde cubrió asuntos financieros … Ver biografía completa

Lectura recomendada:

Más thoughts





Enlace a la noticia initial