Moćni malver Ramsay krade podatke sa najbolje čuvanih sistema
Vesti, 18.05.2020, 10:00 AM
Istraživači kompanije ESET objavili su da su na VirusTotalu primetili malver za koji veruju da je delo nekog ko je zainteresovan za krađu poverljivih dokumenata sa najbolje čuvanih sistema. Ovakvi malveri su retkost, kažu istraživači.
Malver koji je nazvan Ramsay, po svemu sudeći je dizajniran za infekciju takozvanih “air-gapped” sistema, prikupljanje Word i drugih osetljivih dokumenata koji se čuvaju na unapred definisanom skrivenom mestu na istom sistemu ili na prenosivim uređajima, da bi se zatim sačekala prilika za izvlačenje podataka.
Otkriće malvera Ramsay je važno jer retko viđamo zlonamerni softver koji ima mogućnost preskakanja “vazdušnog jaza”, koji se smatra najstrožom i najefikasnijom merom zaštite koju kompanije mogu preduzeti da zaštite osetljive podatke.
“Air-gapped” sistemi su računari ili mreže koje su izolovane od ostatka mreže kompanije i odsečeni od javnog interneta.
Takvi računari/mreže koji se često nalaze u mrežama vladinih agencija i velikih kompanija, obično čuvaju poverljive dokumente ili intelektualnu svojinu.
Pristup ovakvoj mreži se često smatra “Svetim gralom kompromitovanja sigurnosti”, jer je često nemoguće hakovati ove sisteme zbog toga što nisu na bilo koji način povezani sa okolnim uređajima. Treba napomenuti da ovaj malver ne koristi neku naprednu ili neobičnu tehniku koja omogućava napadačima infiltraciju u “air-gapped” računare.
Istraživači ESET-a kažu da su uspeli da pronađu tri različite verzije zlonamernog softvera Ramsay, jednu iz septembra 2019. (Ramsay v1), jednu koja se pojavila početkom i još jednu koja se pojavila krajem marta 2020. (Ramsay v2.a i v2.b).
Svaka verzija je različita i inficira žrtve na različite načine, ali u svim slučajevima osnovna uloga malvera je skeniranje zaraženog računara i prikupljanje Word, PDF i ZIP dokumenata i njihovo čuvanje za naknadno izvlačenje sa računara.
Sve verzije takođe imaju modul za širenje koji dodaje kopije Ramsay malvera svim PE fajlovima koji se nalaze na prenosivim diskovima. Veruje se da je to mehanizam koji je malver koristio da dođe do izolovanih mreža, jer su korisnici najverovatnije premeštali zaražene izvršne fajlove između različitih slojeva mreže kompanije da bi oni na kraju završili na izolovanom sistemu.
Istraživači kažu da uzorci malvera koje su oni analizirali nemaju C&C komunikacijski protokol, niti malver pokušava da komunicira sa serverom.
Istraživači ESET-a kažu da nisu uspeli da utvrde kako su oni koji stoje iza ovog malvera preuzimali podatke sa izlovanih sistema. Međutim, iako ovaj aspekt napada ostaje nepoznat, u stvarnosti se to očigledno događalo.
Iako ESET nije rekao ko stoji iza Ramsay malvera, istraživač iz ove kompanije Ignjacio Sanmilan, kaže da Ramsay ima brojne sličnosti sa malverom Retro koji je razvila hakerska grupa DarkHotel, za koju mnogi veruju da radi za južnokorejsku vladu.
Izdvojeno
Novi macOS malver ClickLock krade podatke uz pomoć korisnika
Istraživači kompanije Group-IB otkrili su novi macOS malver pod nazivom ClickLock Stealer, koji za kompromitovanje uređaja ne koristi ranjivosti op... Dalje
Chrome ekstenzija sa skoro milion korisnika uklonjena zbog sumnjivog prikupljanja podataka
Google je uklonio popularnu Chrome ekstenziju ModHeader iz Chrome Web Store-a nakon što su istraživači kompanije Stripe otkrili skrivene funkcional... Dalje
LastPass upozorava na fišing kampanju koja koristi lažna bezbednosna obaveštenja
Kompanija LastPass je upozorila korisnike na novu fišing kampanju u kojoj napadači koriste lažna bezbednosna obaveštenja kako bi ih usmerili na zl... Dalje
Apple upozorava: prevaranti sve češće koriste FaceTime za krađu podataka i novca korisnika
Apple je upozorio korisnike iPhone i iPad uređaja da svaki neočekivani FaceTime poziv, poruku ili zahtev za deljenje ličnih podataka tretiraju kao ... Dalje
Novi Android malver RedHook koristi Wireless ADB za preuzimanje kontrole nad telefonom
Istraživači kompanije Group-IB upozoravaju na novu verziju Android malvera RedHook, koja koristi funkciju Wireless ADB kako bi stekla privilegije zn... Dalje
Pratite nas
Nagrade






Pratite nas preko RSS-a





