Moćni malver Ramsay krade podatke sa najbolje čuvanih sistema

Vesti, 18.05.2020, 10:00 AM

Moćni malver Ramsay krade podatke sa najbolje čuvanih sistema

Istraživači kompanije ESET objavili su da su na VirusTotalu primetili malver za koji veruju da je delo nekog ko je zainteresovan za krađu poverljivih dokumenata sa najbolje čuvanih sistema. Ovakvi malveri su retkost, kažu istraživači.

Malver koji je nazvan Ramsay, po svemu sudeći je dizajniran za infekciju takozvanih “air-gapped” sistema, prikupljanje Word i drugih osetljivih dokumenata koji se čuvaju na unapred definisanom skrivenom mestu na istom sistemu ili na prenosivim uređajima, da bi se zatim sačekala prilika za izvlačenje podataka.

Otkriće malvera Ramsay je važno jer retko viđamo zlonamerni softver koji ima mogućnost preskakanja “vazdušnog jaza”, koji se smatra najstrožom i najefikasnijom merom zaštite koju kompanije mogu preduzeti da zaštite osetljive podatke.

“Air-gapped” sistemi su računari ili mreže koje su izolovane od ostatka mreže kompanije i odsečeni od javnog interneta.

Takvi računari/mreže koji se često nalaze u mrežama vladinih agencija i velikih kompanija, obično čuvaju poverljive dokumente ili intelektualnu svojinu.

Pristup ovakvoj mreži se često smatra “Svetim gralom kompromitovanja sigurnosti”, jer je često nemoguće hakovati ove sisteme zbog toga što nisu na bilo koji način povezani sa okolnim uređajima. Treba napomenuti da ovaj malver ne koristi neku naprednu ili neobičnu tehniku koja omogućava napadačima infiltraciju u “air-gapped” računare.

Istraživači ESET-a kažu da su uspeli da pronađu tri različite verzije zlonamernog softvera Ramsay, jednu iz septembra 2019. (Ramsay v1), jednu koja se pojavila početkom i još jednu koja se pojavila krajem marta 2020. (Ramsay v2.a i v2.b).

Svaka verzija je različita i inficira žrtve na različite načine, ali u svim slučajevima osnovna uloga malvera je skeniranje zaraženog računara i prikupljanje Word, PDF i ZIP dokumenata i njihovo čuvanje za naknadno izvlačenje sa računara.

Sve verzije takođe imaju modul za širenje koji dodaje kopije Ramsay malvera svim PE fajlovima koji se nalaze na prenosivim diskovima. Veruje se da je to mehanizam koji je malver koristio da dođe do izolovanih mreža, jer su korisnici najverovatnije premeštali zaražene izvršne fajlove između različitih slojeva mreže kompanije da bi oni na kraju završili na izolovanom sistemu.

Istraživači kažu da uzorci malvera koje su oni analizirali nemaju C&C komunikacijski protokol, niti malver pokušava da komunicira sa serverom.

Istraživači ESET-a kažu da nisu uspeli da utvrde kako su oni koji stoje iza ovog malvera preuzimali podatke sa izlovanih sistema. Međutim, iako ovaj aspekt napada ostaje nepoznat, u stvarnosti se to očigledno događalo.

Iako ESET nije rekao ko stoji iza Ramsay malvera, istraživač iz ove kompanije Ignjacio Sanmilan, kaže da Ramsay ima brojne sličnosti sa malverom Retro koji je razvila hakerska grupa DarkHotel, za koju mnogi veruju da radi za južnokorejsku vladu.


Prijavite se na našu mailing listu i primajte najnovije vesti (jednom dnevno) putem emaila svakog radnog dana besplatno:

Izdvojeno

Napadi ransomwarea postaju sve češći i opasniji, ali nije nemoguće sprečiti katastrofu

Napadi ransomwarea postaju sve češći i opasniji, ali nije nemoguće sprečiti katastrofu

Napadi ransomwarea postaju sve agresivniji, ali postoje jednostavne mere koje pojedinci, kompanije i organizacije mogu preduzeti da se zaštite. &bdqu... Dalje

Nemačka policija istražuje prvi slučaj smrti zbog napada ransomwarea na bolnicu

Nemačka policija istražuje prvi slučaj smrti zbog napada ransomwarea na bolnicu

Nemačke vlasti istražuju smrt pacijenta posle napada ransomwarea na bolnicu u Diseldorfu. Reč je o pacijentkinji kojoj je bila potrebna hitna medic... Dalje

Korisnici Googleovog programa napredne zaštite sada mogu tražiti skeniranje fajlova

Korisnici Googleovog programa napredne zaštite sada mogu tražiti skeniranje fajlova

Google je dodao novu funkciju svom programu za zaštitu visokorizičnih korisnika, kao što su novinari, političke organizacije i aktivisti. Od juče... Dalje

Sajber-kriminal u doba pandemije

Sajber-kriminal u doba pandemije

Ako ste mislili da 2020. ne može biti gora, grešite. Ni sajber-prostor nije pošteđen loših dešavanja. Mnogi su zbog pandemije bili prinuđeni da... Dalje

Razer greškom otkrio privatne podatke više od 100000 gejmera

Razer greškom otkrio privatne podatke više od 100000 gejmera

Proizvođač opreme za gejmere, kompanija Razer, slučajno je otrkio privatne podatke više od 100000 igrača koji su bili javno dostupni skoro mesec ... Dalje