Eksperci z ESET przeanalizowali oprogramowanie Ramsay – nowy zestaw narzędzi, wykorzystywany przez cyberprzestępców do wykradania danych z komputerów, które nie zostały podłączone do Internetu. Zdaniem badaczy jest to nowa broń w asortymencie grupy DarkHotel, która w przeszłości atakowała m.in. cele rządowe w Chinach i Japonii.
Wirus rozprzestrzenia się głównie za pomocą nośników wymiennych, takich jak np. pendrive’y. Po instalacji na danej maszynie wyszukuje znajdujące się dokumenty programu Microsoft Word, a następnie przygotowuje pliki do wysyłki. W tym celu pliki są archiwizowane i szyfrowane, a następnie dopisywane do innych na komputerze ofiary. W tej formie czekają, aż nadarzy się okazja do ich eksfiltracji, która następuje zazwyczaj za pośrednictwem nośników wymiennych.
Technika ta w połączeniu ze zdecentralizowanym mechanizmem kontroli pozwala na skuteczne gromadzenie i wykradanie plików znajdujących się na maszynach odizolowanych od Internetu, które bardzo często wykorzystywane są do przetwarzania najbardziej wrażliwych danych.
Badacze zidentyfikowali jak do tej pory trzy różne wersje narzędzia, z których każda kolejna wykorzystywała bardziej zaawansowane techniki dystrybucji, maskowania swojej aktywności i samego gromadzenia danych. Pozwala to przypuszczać, że program jest dopiero rozwijany przez przestępców i w przyszłości może być używany na znacznie szerszą skalę.
Jak zwracają uwagę eksperci Eset, Ramsay wykazuje wiele cech wspólnych z backdoorem Retro, będącym na wyposażeniu grupy APT DarkHotel. Możliwe, że to właśnie ci hakerzy stoją za tym narzędziem.
