Ramsey Malware – Schneier sobre seguridad


Ramsey Malware

Un nuevo malware, llamado Ramsey, puede saltar huecos de aire:

ESET dijo que han podido rastrear tres versiones diferentes del malware Ramsay, una compilada en septiembre de 2019 (Ramsay v1) y otras dos a principios y finales de marzo de 2020 (Ramsay v2.a y v2.b).

Cada versión period diferente e infectaba a las víctimas a través de diferentes métodos, pero en esencia, la función principal del malware era escanear una computadora infectada y reunir documentos de Term, PDF y ZIP en una carpeta de almacenamiento oculta, listos para ser filtrados en una fecha posterior. .

Otras versiones también incluyeron un módulo separador que agregó copias del malware Ramsay a todos los archivos PE (ejecutables portátiles) que se encuentran en unidades extraíbles y recursos compartidos de red. Se cree que este es el mecanismo que el malware estaba utilizando para saltar la brecha de aire y llegar a redes aisladas, ya que los usuarios probablemente moverían los ejecutables infectados entre las diferentes capas de red de la compañía, y finalmente terminarían en un sistema aislado.

ESET dice que durante su investigación, no pudo identificar positivamente el módulo de exfiltración de Ramsay, ni determinar cómo los operadores de Ramsay recuperaron los datos de los sistemas con espacios de aire.

Honestamente, no puedo pensar en ningún actor de amenazas que quiera este tipo de característica que no sean los gobiernos:

El investigador no ha hecho una atribución official de quién podría estar detrás de Ramsay. Sin embargo, Sanmillan dijo que el malware contenía una gran cantidad de artefactos compartidos con Retro, una cepa de malware desarrollada previamente por DarkHotel, un grupo de hackers que muchos creen que opera en interés del gobierno de Corea del Sur.

Parece possible.

Detalles.

Publicado el 18 de mayo de 2020 a las 6:15 a.m.

comentarios



Enlace a la noticia primary