Moćni malver Ramsay krade podatke sa najbolje čuvanih sistema

Vesti, 18.05.2020, 10:00 AM

Moćni malver Ramsay krade podatke sa najbolje čuvanih sistema

Istraživači kompanije ESET objavili su da su na VirusTotalu primetili malver za koji veruju da je delo nekog ko je zainteresovan za krađu poverljivih dokumenata sa najbolje čuvanih sistema. Ovakvi malveri su retkost, kažu istraživači.

Malver koji je nazvan Ramsay, po svemu sudeći je dizajniran za infekciju takozvanih “air-gapped” sistema, prikupljanje Word i drugih osetljivih dokumenata koji se čuvaju na unapred definisanom skrivenom mestu na istom sistemu ili na prenosivim uređajima, da bi se zatim sačekala prilika za izvlačenje podataka.

Otkriće malvera Ramsay je važno jer retko viđamo zlonamerni softver koji ima mogućnost preskakanja “vazdušnog jaza”, koji se smatra najstrožom i najefikasnijom merom zaštite koju kompanije mogu preduzeti da zaštite osetljive podatke.

“Air-gapped” sistemi su računari ili mreže koje su izolovane od ostatka mreže kompanije i odsečeni od javnog interneta.

Takvi računari/mreže koji se često nalaze u mrežama vladinih agencija i velikih kompanija, obično čuvaju poverljive dokumente ili intelektualnu svojinu.

Pristup ovakvoj mreži se često smatra “Svetim gralom kompromitovanja sigurnosti”, jer je često nemoguće hakovati ove sisteme zbog toga što nisu na bilo koji način povezani sa okolnim uređajima. Treba napomenuti da ovaj malver ne koristi neku naprednu ili neobičnu tehniku koja omogućava napadačima infiltraciju u “air-gapped” računare.

Istraživači ESET-a kažu da su uspeli da pronađu tri različite verzije zlonamernog softvera Ramsay, jednu iz septembra 2019. (Ramsay v1), jednu koja se pojavila početkom i još jednu koja se pojavila krajem marta 2020. (Ramsay v2.a i v2.b).

Svaka verzija je različita i inficira žrtve na različite načine, ali u svim slučajevima osnovna uloga malvera je skeniranje zaraženog računara i prikupljanje Word, PDF i ZIP dokumenata i njihovo čuvanje za naknadno izvlačenje sa računara.

Sve verzije takođe imaju modul za širenje koji dodaje kopije Ramsay malvera svim PE fajlovima koji se nalaze na prenosivim diskovima. Veruje se da je to mehanizam koji je malver koristio da dođe do izolovanih mreža, jer su korisnici najverovatnije premeštali zaražene izvršne fajlove između različitih slojeva mreže kompanije da bi oni na kraju završili na izolovanom sistemu.

Istraživači kažu da uzorci malvera koje su oni analizirali nemaju C&C komunikacijski protokol, niti malver pokušava da komunicira sa serverom.

Istraživači ESET-a kažu da nisu uspeli da utvrde kako su oni koji stoje iza ovog malvera preuzimali podatke sa izlovanih sistema. Međutim, iako ovaj aspekt napada ostaje nepoznat, u stvarnosti se to očigledno događalo.

Iako ESET nije rekao ko stoji iza Ramsay malvera, istraživač iz ove kompanije Ignjacio Sanmilan, kaže da Ramsay ima brojne sličnosti sa malverom Retro koji je razvila hakerska grupa DarkHotel, za koju mnogi veruju da radi za južnokorejsku vladu.


Prijavite se na našu mailing listu i primajte najnovije vesti (jednom dnevno) putem emaila svakog radnog dana besplatno:

Izdvojeno

Firefox će vam omogućiti da izvezete sačuvane lozinke u tekstualnom fajlu

Firefox će vam omogućiti da izvezete sačuvane lozinke u tekstualnom fajlu

Mozilla će vam uskoro omogućiti da izvezite lozinke sačuvane u Firefoxu u CSV fajlu koji kasnije možete da uvezete u menadžer lozinki ili da ga... Dalje

Google upozorio: Tramp i Bajden na meti iranskih i kineskih hakera

Google upozorio: Tramp i Bajden na meti iranskih i kineskih hakera

Kineski i iranski hakeri pokušali su da hakuju email naloge saradnika kandidata demokrata za predsednika SAD, Džoa Bajdena, i aktuelnog američkog p... Dalje

Kolektivna tužba protiv Googlea: Korisnici traže 5 milijardi dolara odštete zbog praćenja u režimu privatnog pretraživanja

Kolektivna tužba protiv Googlea: Korisnici traže 5 milijardi dolara odštete zbog praćenja u režimu privatnog pretraživanja

Saveznom sudu u San Hozeu, u Kaliforniji, podneta je kolektivna tužba protiv Googlea, a tužbu je podnela advokatska kancelarija Boies Schiller &... Dalje

I nakon hakovanja, korisnici retko menjaju svoje lozinke

I nakon hakovanja, korisnici retko menjaju svoje lozinke

Samo trećina korisnika promeni lozinku nakon što se prijavi kompromitovanje podataka, pokazalo je nedavno istraživanje koje su objavili naučnici ... Dalje

MUP Srbije izdao upozorenje za građane i firme: Ne otvarajte emailove koje navodno šalje Batut, u pitanju je prevara

MUP Srbije izdao upozorenje za građane i firme: Ne otvarajte emailove koje navodno šalje Batut, u pitanju je prevara

Pripadnici Ministarstva unutrašnjih poslova, Odeljenja za suzbijanje visokotehnološkog kriminala, izdali su upozorenje za građane Republike Srbije ... Dalje