Ramsay to nowy wirus, który pozwala wykradać dane z komputerów bez dostępu do Internetu

14 maja 2020

Eksperci z ESET przeanalizowali oprogramowanie Ramsay – nowy zestaw narzędzi, wykorzystywany przez cyberprzestępców do wykradania danych z komputerów, które nie zostały podłączone do Internetu. Zdaniem badaczy jest to nowa broń w asortymencie grupy DarkHotel, która w przeszłości atakowała m.in. cele rządowe w Chinach i Japonii.

Wirus rozprzestrzenia się głównie za pomocą nośników wymiennych, takich jak np. pendrive’y. Po instalacji na danej maszynie wyszukuje znajdujące się dokumenty programu Microsoft Word, a następnie przygotowuje pliki do wysyłki. W tym celu pliki są archiwizowane i szyfrowane, a następnie dopisywane do innych na komputerze ofiary. W tej formie czekają, aż nadarzy się okazja do ich eksfiltracji, która następuje zazwyczaj za pośrednictwem nośników wymiennych.

Ramsey - technika rozprzestrzeniania

Technika ta w połączeniu ze zdecentralizowanym mechanizmem kontroli pozwala na skuteczne gromadzenie i wykradanie plików znajdujących się na maszynach odizolowanych od Internetu, które bardzo często wykorzystywane są do przetwarzania najbardziej wrażliwych danych.

Badacze zidentyfikowali jak do tej pory trzy różne wersje narzędzia, z których każda kolejna wykorzystywała bardziej zaawansowane techniki dystrybucji, maskowania swojej aktywności i samego gromadzenia danych. Pozwala to przypuszczać, że program jest dopiero rozwijany przez przestępców i w przyszłości może być używany na znacznie szerszą skalę.

Jak zwracają uwagę eksperci Eset, Ramsay wykazuje wiele cech wspólnych z backdoorem Retro, będącym na wyposażeniu grupy APT DarkHotel. Możliwe, że to właśnie ci hakerzy stoją za tym narzędziem.

PODZIEL SIĘ:

Share on facebook
Share on twitter
Share on linkedin
Share on email
AUTOR: Arkadiusz Bała
guest
0 komentarzy
Inline Feedbacks
View all comments

Newsletter

BĄDŹ ZAWSZE NA BIEŻĄCO!

Newsletter

ZAPISZ SIĘ NA POWIADOMIENIA
BĄDŹ ZAWSZE NA BIEŻĄCO!
zapisz się

POLECANE PRODUKTY

YUBICO

Klucze zabezpieczające

SILNE UWIERZYTELNIANIE DWUSKŁADNIKOWE, WIELOSKŁADNIKOWE I BEZ HASŁA

ankieta

Czy w Twojej firmie używa się dwuskładnikowego logowania?
GŁOSUJ

Newsletter

BĄDŹ ZAWSZE NA BIEŻĄCO!

Newsletter

ZAPISZ SIĘ NA POWIADOMIENIA
BĄDŹ ZAWSZE NA BIEŻĄCO!
zapisz się

Newsletter

BĄDŹ ZAWSZE NA BIEŻĄCO!

Newsletter

ZAPISZ SIĘ NA POWIADOMIENIA E-MAIL I ZAWSZE BĄDŹ NA BIEŻĄCO!
zapisz się

POLECANE PRODUKTY

YUBICO

Klucze zabezpieczające

SILNE UWIERZYTELNIANIE DWUSKŁADNIKOWE, WIELOSKŁADNIKOWE I BEZ HASŁA

ankieta

Czy w Twojej firmie używa się dwuskładnikowego logowania?
GŁOSUJ