Moćni malver Ramsay krade podatke sa najbolje čuvanih sistema

Vesti, 18.05.2020, 10:00 AM

Moćni malver Ramsay krade podatke sa najbolje čuvanih sistema

Istraživači kompanije ESET objavili su da su na VirusTotalu primetili malver za koji veruju da je delo nekog ko je zainteresovan za krađu poverljivih dokumenata sa najbolje čuvanih sistema. Ovakvi malveri su retkost, kažu istraživači.

Malver koji je nazvan Ramsay, po svemu sudeći je dizajniran za infekciju takozvanih “air-gapped” sistema, prikupljanje Word i drugih osetljivih dokumenata koji se čuvaju na unapred definisanom skrivenom mestu na istom sistemu ili na prenosivim uređajima, da bi se zatim sačekala prilika za izvlačenje podataka.

Otkriće malvera Ramsay je važno jer retko viđamo zlonamerni softver koji ima mogućnost preskakanja “vazdušnog jaza”, koji se smatra najstrožom i najefikasnijom merom zaštite koju kompanije mogu preduzeti da zaštite osetljive podatke.

“Air-gapped” sistemi su računari ili mreže koje su izolovane od ostatka mreže kompanije i odsečeni od javnog interneta.

Takvi računari/mreže koji se često nalaze u mrežama vladinih agencija i velikih kompanija, obično čuvaju poverljive dokumente ili intelektualnu svojinu.

Pristup ovakvoj mreži se često smatra “Svetim gralom kompromitovanja sigurnosti”, jer je često nemoguće hakovati ove sisteme zbog toga što nisu na bilo koji način povezani sa okolnim uređajima. Treba napomenuti da ovaj malver ne koristi neku naprednu ili neobičnu tehniku koja omogućava napadačima infiltraciju u “air-gapped” računare.

Istraživači ESET-a kažu da su uspeli da pronađu tri različite verzije zlonamernog softvera Ramsay, jednu iz septembra 2019. (Ramsay v1), jednu koja se pojavila početkom i još jednu koja se pojavila krajem marta 2020. (Ramsay v2.a i v2.b).

Svaka verzija je različita i inficira žrtve na različite načine, ali u svim slučajevima osnovna uloga malvera je skeniranje zaraženog računara i prikupljanje Word, PDF i ZIP dokumenata i njihovo čuvanje za naknadno izvlačenje sa računara.

Sve verzije takođe imaju modul za širenje koji dodaje kopije Ramsay malvera svim PE fajlovima koji se nalaze na prenosivim diskovima. Veruje se da je to mehanizam koji je malver koristio da dođe do izolovanih mreža, jer su korisnici najverovatnije premeštali zaražene izvršne fajlove između različitih slojeva mreže kompanije da bi oni na kraju završili na izolovanom sistemu.

Istraživači kažu da uzorci malvera koje su oni analizirali nemaju C&C komunikacijski protokol, niti malver pokušava da komunicira sa serverom.

Istraživači ESET-a kažu da nisu uspeli da utvrde kako su oni koji stoje iza ovog malvera preuzimali podatke sa izlovanih sistema. Međutim, iako ovaj aspekt napada ostaje nepoznat, u stvarnosti se to očigledno događalo.

Iako ESET nije rekao ko stoji iza Ramsay malvera, istraživač iz ove kompanije Ignjacio Sanmilan, kaže da Ramsay ima brojne sličnosti sa malverom Retro koji je razvila hakerska grupa DarkHotel, za koju mnogi veruju da radi za južnokorejsku vladu.


Prijavite se na našu mailing listu i primajte najnovije vesti (jednom dnevno) putem emaila svakog radnog dana besplatno:

Izdvojeno

KashmirBlack botnet inficirao stotine hiljada veb sajtova

KashmirBlack botnet inficirao stotine hiljada veb sajtova

Botnet KashmirBlack zarazio je stotine hiljada veb sajtova napadajući slabosti CMS (content management system) platformi. KashmirBlack je prvi put pr... Dalje

Kriminalna grupa koja stoji iza ransomwarea Maze navodno se povlači iz posla

Kriminalna grupa koja stoji iza ransomwarea Maze navodno se povlači iz posla

Iako je jedna od najistaknutijih grupa koje koriste ransomware u napadima, grupa Maze se navodno povlači iz posla. Ransomware Maze se pojavio u maju ... Dalje

Sajber-kriminalci nemaju stida: Dve godine posle hakovanja klinike za psihoterapiju pacijenti ucenjeni

Sajber-kriminalci nemaju stida: Dve godine posle hakovanja klinike za psihoterapiju pacijenti ucenjeni

Jedna privatna klinika za psihoterapiju u Finskoj treba da plati sajber-kriminalcu, koji je ucenjuje i traži novac iako je od napada na kliniku proš... Dalje

Grupa koja stoji iza ransomwarea REvil tvrdi da je za godinu dana zaradila više od 100 miliona dolara

Grupa koja stoji iza ransomwarea REvil tvrdi da je za godinu dana zaradila više od 100 miliona dolara

Grupa koja stoji iza ransomwarea REvil tvrdi da je za godinu dana od velikih kompanija iz celog sveta, koje posluju u različitim sektorima, uspela da... Dalje

Pregledi linkova u aplikacijama za slanje poruka ugrožavaju privatnost korisnika

Pregledi linkova u aplikacijama za slanje poruka ugrožavaju privatnost korisnika

Pregledi linkova u popularnim aplikacijama za slanje poruka mogu biti veoma opasni zbog curenja IP adresa, otkrivanja linkova poslatih u šifrovanim r... Dalje