Vrlo moćna zlonamjerna datoteka Ramsay krade podatke s najsigurnijih sustava

Vrlo moćna zlonamjerna datoteka Ramsay krade podatke s najsigurnijih sustava

zlonamjeran kod Ramsay

Stručnjaci za informacijsku sigurnost primijetili su zlonamjernu datoteku za koju vjeruju da je djelo autora koji je zainteresiran za krađu povjerljivih dokumenata s najbolje čuvanih sustava. Slične zlonamjerne datoteke vrlo su rijetke. Ramsay je zlonamjerna datoteka koja je po svemu sudeći dizajnirana za ugrozu tzv. “air-gapped” sustava, prikupljanje osjetljivih dokumenata koji se pohranjuju na unaprijed zadanom skrivenom mjestu na istom sustavu ili na prenosivim uređajima, da bi se zatim pričekala prilika za izvlačenje podataka. Navedeno otkriće vrlo je važno jer se rijetko može pronaći zlonamjerni softver koji ima mogućnost preskakanja “zračnog jaza”, koji se smatra najstrožom i najefikasnijom mjerom zaštite koju tvrtke mogu poduzeti za zaštitu osjetljivih podataka. “Air-gapped” sustavi su računala ili mreže koja su izolirana od ostatka mreže tvrtke i odsječena od javno dostupnog interneta. Takva računala/mreže koja se često nalaze u mrežama vladinih agencija i velikih tvrtki, obično čuvaju povjerljive dokumente ili intelektualnu vlasništvo. Pristup ovakvoj mreži se često smatra “Svetim gralom komromitiranja sigurnosti”, jer je često nemoguće ugroziti ovakve sustave zbog toga što nisu na bilo koji način povezani s okolnim uređajima. Treba napomenuti da ova zlonamjerna datoteka ne koristi neku naprednu ili neobičnu tehniku koja omogućava napadačima infiltraciju u “air-gapped” računala. Stručnjaci su uspjeli pronaći tri različite verzije zlonamjernog softvera Ramsay, jednu iz rujna 2019. (Ramsay v1), jednu koja se pojavila početkom 2020. i još jednu koja se pojavila krajem ožujka 2020. (Ramsay v2.a i v2.b). Svaka verzija je različita i ugrožava žrtve na različite načine, ali u svim slučajevima osnovna uloga zlonamjerne datoteke je skeniranje zaraženog računala i prikupljanje Word, PDF i ZIP dokumenata i njihova pohrana za naknadno izvlačenje s računala. Sve verzije također imaju modul za širenje koji dodaje kopije Ramsaya svim PE datotekama koje se nalaze na prenosivim diskovima. Vjeruje se da je to mehanizam koji je Ramsay koristio za proboj do izoliranih mreža, jer su korisnici najvjerojatnije premještali zaražene izvršne datoteke između različitih slojeva mreže tvrtke da bi na kraju završile na izoliranom sustavu. Uzorci zlonamjerne datoteke koji su se analizirali nemaju C&C komunikacijski protokol, niti Ramsay pokušava komunicirati s poslužiteljem. Stručnjaci nisu uspjeli utvrditi kako su napadači preuzimali podatke s izoliranih sustava. Međutim, iako ovaj aspekt napada ostaje nepoznat, u stvarnosti se to očigledno događalo. Premda nije jasno tko stoji iza napada, otkrilo se da Ramsay sadrži brojne sličnosti sa zlonamjernom datotekom Retro koju je razvila grupa napadača DarkHotel, za koju se vjeruje da je na usluzi južnokorejskoj vladi.

Prethodna objava