Moćni malver Ramsay krade podatke sa najbolje čuvanih sistema

Vesti, 18.05.2020, 10:00 AM

Istraživači kompanije ESET objavili su da su na VirusTotalu primetili malver za koji veruju da je delo nekog ko je zainteresovan za krađu poverljivih dokumenata sa najbolje čuvanih sistema. Ovakvi malveri su retkost, kažu istraživači.

Malver koji je nazvan Ramsay, po svemu sudeći je dizajniran za infekciju takozvanih “air-gapped” sistema, prikupljanje Word i drugih osetljivih dokumenata koji se čuvaju na unapred definisanom skrivenom mestu na istom sistemu ili na prenosivim uređajima, da bi se zatim sačekala prilika za izvlačenje podataka.

Otkriće malvera Ramsay je važno jer retko viđamo zlonamerni softver koji ima mogućnost preskakanja “vazdušnog jaza”, koji se smatra najstrožom i najefikasnijom merom zaštite koju kompanije mogu preduzeti da zaštite osetljive podatke.

“Air-gapped” sistemi su računari ili mreže koje su izolovane od ostatka mreže kompanije i odsečeni od javnog interneta.

Takvi računari/mreže koji se često nalaze u mrežama vladinih agencija i velikih kompanija, obično čuvaju poverljive dokumente ili intelektualnu svojinu.

Pristup ovakvoj mreži se često smatra “Svetim gralom kompromitovanja sigurnosti”, jer je često nemoguće hakovati ove sisteme zbog toga što nisu na bilo koji način povezani sa okolnim uređajima. Treba napomenuti da ovaj malver ne koristi neku naprednu ili neobičnu tehniku koja omogućava napadačima infiltraciju u “air-gapped” računare.

Istraživači ESET-a kažu da su uspeli da pronađu tri različite verzije zlonamernog softvera Ramsay, jednu iz septembra 2019. (Ramsay v1), jednu koja se pojavila početkom i još jednu koja se pojavila krajem marta 2020. (Ramsay v2.a i v2.b).

Svaka verzija je različita i inficira žrtve na različite načine, ali u svim slučajevima osnovna uloga malvera je skeniranje zaraženog računara i prikupljanje Word, PDF i ZIP dokumenata i njihovo čuvanje za naknadno izvlačenje sa računara.

Sve verzije takođe imaju modul za širenje koji dodaje kopije Ramsay malvera svim PE fajlovima koji se nalaze na prenosivim diskovima. Veruje se da je to mehanizam koji je malver koristio da dođe do izolovanih mreža, jer su korisnici najverovatnije premeštali zaražene izvršne fajlove između različitih slojeva mreže kompanije da bi oni na kraju završili na izolovanom sistemu.

Istraživači kažu da uzorci malvera koje su oni analizirali nemaju C&C komunikacijski protokol, niti malver pokušava da komunicira sa serverom.

Istraživači ESET-a kažu da nisu uspeli da utvrde kako su oni koji stoje iza ovog malvera preuzimali podatke sa izlovanih sistema. Međutim, iako ovaj aspekt napada ostaje nepoznat, u stvarnosti se to očigledno događalo.

Iako ESET nije rekao ko stoji iza Ramsay malvera, istraživač iz ove kompanije Ignjacio Sanmilan, kaže da Ramsay ima brojne sličnosti sa malverom Retro koji je razvila hakerska grupa DarkHotel, za koju mnogi veruju da radi za južnokorejsku vladu.