I ricercatori di ESET hanno annunciato di aver scoperto un framework di malware mai visto prima con funzionalità avanzata di conoscenza, ad oggi, rara.
Denominato Ramsay, ESET afferma che questo toolkit di malware sembra essere stato configurato con funzionalità per infettare i computer con intercapedini d'aria, cercare Word e altri documenti sensibili in un contenitore di archiviazione nascosto, quindi attendere un'eventuale opportunità di esfiltrazione.
La scoperta di Ramsay è importante perché raramente vediamo malware che contiene la capacità di colmare il divario aereo, la misura di protezione della sicurezza più rigorosa ed efficace che le aziende usano per salvaguardare i dati sensibili.
I sistemi ad aria compressa sono computer o reti che sono isolati dal resto della rete e tagliati fuori da Internet pubblico.
I computer o le reti air gapped si trovano spesso sulle reti di agenzie governative e grandi imprese, dove di solito archiviano documenti top secret o proprietà intellettuale. L'accesso a una rete con intercapedine aerea è spesso considerato il Santo Graal di qualsiasi violazione della sicurezza, poiché questi sistemi sono spesso impossibili da violare a causa del gap aereo (mancanza di connessione ai dispositivi vicini).
In un rapporto pubblicato oggi, ESET ha dichiarato di aver scoperto una rara forma di malware che sembra essere stata specificamente sviluppata per colmare l'air gap e quindi raggiungere reti isolate.
ESET ha dichiarato di essere stato in grado di rintracciare tre diverse versioni del malware Ramsay, una compilata a settembre 2019 (Ramsay v1) e altre due all'inizio e alla fine di marzo 2020 (Ramsay v2.a e v2.b).
Ogni versione era diversa anche nei metodi di attacco, ma alla base, il ruolo principale del malware era scansionare un computer infetto e raccogliere documenti Word, PDF e ZIP in una cartella di archiviazione nascosta, pronta per essere esfiltrata in un secondo momento.
Altre versioni includevano anche un modulo "spargitore" che aggiungeva copie del malware Ramsay a tutti i file PE (eseguibili portatili) presenti su unità rimovibili e condivisi in rete. Si ritiene che questo sia il meccanismo che il malware stava impiegando per saltare la sicurezza e raggiungere reti isolate, poiché gli utenti avrebbero probabilmente spostato gli eseguibili infetti tra i diversi livelli di rete dell'azienda, e alla fine sarebbero finiti su un sistema isolato.
ESET afferma che durante la sua ricerca non è stato in grado di identificare il modulo di esfiltrazione di Ramsay o determinare come gli operatori di Ramsay hanno recuperato i dati da sistemi air-gapped.
"Inizialmente abbiamo trovato un'istanza di Ramsay in VirusTotal", ha dichiarato il ricercatore ESET Ignacio Sanmillan. "Quel campione è stato caricato dal Giappone e ci ha portato alla scoperta di ulteriori componenti e versioni del framework".
Il ricercatore non ha rilasciato un'attribuzione formale a chi potrebbe esserci dietro Ramsay. Tuttavia, Sanmillan ha affermato che il malware conteneva un gran numero di artefatti condivisi con Retro, una varietà di malware precedentemente sviluppata da DarkHotel, un gruppo di hacker che molti credono di operare nell'interesse del governo sudcoreano.
Programmatore informatico italiano, mi occupo di sviluppo sia Front-end che Back-end presso una grande azienda. La programmazione è stata la mia passione, insieme allo sport e al teatro che pratico tutt'ora. Ho deciso di aprire questo blog per dare consigli e condividerli con chi, come me, porta con sé questa passione. [..]
