Eksperci ESET przeanalizowali Ramsay – nowy zestaw narzędzi, wykorzystywany przez cyberprzestępców do wykradania danych z komputerów, które nie zostały podłączone do Internetu. Zdaniem badaczy jest to nowa broń w asortymencie grupy DarkHotel, która w przeszłości atakowała m.in. cele rządowe w Chinach i Japonii.
Ramsay to nowy zestaw narzędzi, który pozwala na kradzież danych z odizolowanych od Internetu sieci i komputerów. Wirus rozprzestrzenia się głównie za pomocą nośników wymiennych, takich jak np. pendrive’y. Po instalacji na danej maszynie wyszukuje on znajdujące się na niej dokumenty programu Microsoft Word, a następnie przygotowuje je do wysyłki. W tym celu pliki są archiwizowane i szyfrowane, a następnie dopisywane do innych plików na komputerze ofiary. W tej formie czekają, aż nadarzy się okazja do ich eksfiltracji, która następuje zazwyczaj za pośrednictwem nośników wymiennych.
Technika ta w połączeniu ze zdecentralizowanym mechanizmem kontroli pozwala na skuteczne gromadzenie i wykradanie plików znajdujących się na maszynach odizolowanych od Internetu, które bardzo często wykorzystywane są do przetwarzania najbardziej wrażliwych danych.
Badacze ESET zidentyfikowali jak do tej pory trzy różne wersje narzędzia, z których każda kolejna wykorzystywała bardziej zaawansowane techniki dystrybucji, maskowania swojej aktywności i samego gromadzenia danych. Pozwala to przypuszczać, że program jest dopiero rozwijany przez przestępców i w przyszłości może być używany na znacznie szerszą skalę.
Jak zwracają uwagę eksperci ESET, Ramsay wykazuje wiele cech wspólnych z backdoorem Retro, będącym na wyposażeniu grupy APT DarkHotel. Pozwala to przypuszczać, że to właśnie ona stoi za zidentyfikowanym ostatnio narzędziem.
https://itreseller.com.pl/itrnewjak-stac-sie-liderem-rewolucji-cyfrowej-w-sytuacji-kiedy-dazenie-do-unikania-niepotrzebnego-ryzyka-to-cecha-laczaca-wiekszosc-ludzi-podpowiada-nam-andres-garcia-arroyo-wiceprezes-ds-aplikacji-w-or/
