Ramsay – nowy wirus pozwala wykradać dane z komputerów bez dostępu do Internetu

Następny artykuł
2020-05-13

Eksperci ESET przeanalizowali Ramsay – nowy zestaw narzędzi, wykorzystywany przez cyberprzestępców do wykradania danych z komputerów, które nie zostały podłączone do Internetu. Zdaniem badaczy jest to nowa broń w asortymencie grupy DarkHotel, która w przeszłości atakowała m.in. cele rządowe w Chinach i Japonii.

Ramsay to nowy zestaw narzędzi, który pozwala na kradzież danych z odizolowanych od Internetu sieci i komputerów.

Wirus rozprzestrzenia się głównie za pomocą nośników wymiennych, takich jak np. pendrive’y. Po instalacji na danej maszynie wyszukuje on znajdujące się na niej dokumenty programu Microsoft Word, a następnie przygotowuje je do wysyłki. W tym celu pliki są archiwizowane i szyfrowane, a następnie dopisywane do innych plików na komputerze ofiary. W tej formie czekają, aż nadarzy się okazja do ich eksfiltracji, która następuje zazwyczaj za pośrednictwem nośników wymiennych.

Technika ta w połączeniu ze zdecentralizowanym mechanizmem kontroli pozwala na skuteczne gromadzenie i wykradanie plików znajdujących się na maszynach odizolowanych od Internetu, które bardzo często wykorzystywane są do przetwarzania najbardziej wrażliwych danych.

Badacze ESET zidentyfikowali jak do tej pory trzy różne wersje narzędzia, z których każda kolejna wykorzystywała bardziej zaawansowane techniki dystrybucji, maskowania swojej aktywności i samego gromadzenia danych. Pozwala to przypuszczać, że program jest dopiero rozwijany przez przestępców i w przyszłości może być używany na znacznie szerszą skalę.

Jak zwracają uwagę eksperci ESET, Ramsay wykazuje wiele cech wspólnych z backdoorem Retro, będącym na wyposażeniu grupy APT DarkHotel. Pozwala to przypuszczać, że to właśnie ona stoi za zidentyfikowanym ostatnio narzędziem.

Więcej informacji na temat narzędzia Ramsay można znaleźć w artykule na blogu WeLiveSecurity: Ramsay: A cyberespionage toolkit tailored for airgapped networks (EN).