Złośliwe oprogramowanie Ramsay
Ramsay , określany również jako Ramsay Malware , to platforma i zestaw narzędzi do cyberszpiegostwa odkryta przez badania ESET w 2020 roku.
Ramsay jest specjalnie dostosowany do systemów Windows w sieciach, które nie są podłączone do Internetu i które są również odizolowane od intranetów firm, tak zwanych sieci typu air-gapped , z których kradnie poufne dokumenty, takie jak dokumenty programu Word, po uprzednim zebraniu ich w ukrytym folderze przechowywania .
Badacze firmy ESET znaleźli różne wersje szkodliwego oprogramowania i uważają, że w maju 2020 r. było ono nadal w fazie rozwoju. Numerowali wersje Ramsay wersja 1, Ramsay wersja 2a i Ramsay wersja 2b. Pierwszym spotkaniem ze szkodliwym oprogramowaniem była próbka przesłana z Japonii do VirusTotal . Pierwsza wersja została skompilowana we wrześniu 2019 r. Ostatnia znaleziona wersja była najbardziej zaawansowana.
Odkrycie Ramsaya uznano za istotne, ponieważ złośliwe oprogramowanie rzadko jest w stanie atakować fizycznie izolowane urządzenia.
Autorstwo
Chociaż nie przypisano mu autorstwa, ma wiele wspólnych artefaktów z Retro, backdoorem stworzonym przez podmiot hakerski Darkhotel, który, jak się uważa, działa w interesie Korei Południowej .
Działanie złośliwego oprogramowania
Trzy wersje Ramsaya znalezione przez ESET mają różne działanie.
Wersja 1 Ramsay nie zawiera rootkita , podczas gdy późniejsze wersje to robią.
Ramsay w wersjach 1 i 2.b wykorzystuje lukę CVE-2017-0199, „lukę w zabezpieczeniach Microsoft Office/WordPad umożliwiającą zdalne wykonanie kodu w interfejsie API systemu Windows”.
Wersja 2.b wykorzystuje również exploit CVE-2017-11882 jako wektor ataku.
Ramsay może rozprzestrzeniać się za pośrednictwem nośników wymiennych, takich jak pamięci USB i udziały sieciowe. W ten sposób złośliwe oprogramowanie może przeskoczyć szczelinę powietrzną.