Опасность кражи конфиденциальных документов

Новое вредоносное ПО от Ramsay может украсть конфиденциальные документы из сетей с воздушным зазором.
Ramsay может заразить компьютеры с воздушным зазором, собирать файлы Word, PDF и ZIP в скрытой папке, а затем ждать эксфильтрации.

 

Исследователи из компании ESET, специализирующейся в области кибербезопасности, объявили, что они обнаружили инфраструктуру вредоносных программ с расширенными возможностями, которые сегодня редко встречаются.

Возможности эксфильтрации

ESET считает ,что ПО имени Рамсей,содержит такой набор вредоносных программ, который разработан с функциями для заражения компьютеров с воздушным зазором, сбора Word и других конфиденциальных документов в скрытом контейнере хранения, а затем ожидания возможной эксфильтрации.

Открытие Ramsay является важным, потому что мы редко видим вредоносные программы, которые могут прыгнуть в «воздух», считаясь самой строгой и эффективной мерой защиты, которую компании могут предпринять для защиты конфиденциальных данных.

Что такое воздушные сети

Системы с воздушным зазором — это компьютеры или сети, которые изолированы от остальной части сети компании и отключены от общедоступного Интернета. Компьютеры / сети с воздушным зазором часто встречаются в сетях правительственных учреждений и крупных предприятий, где они обычно хранят сверхсекретные документы или интеллектуальную собственность. Получение доступа к сети с воздушным зазором часто считается Святым Граалем любого нарушения безопасности, поскольку эти системы часто невозможно нарушить из-за воздушного зазора (отсутствие какого-либо соединения с соседними устройствами).

Новая программа RAMSAY может переходить в воздушный разрыв

ESET сообщает, что им удалось отследить три разные версии вредоносных программ Ramsay, одна из которых была скомпилирована в сентябре 2019 года (Ramsay v1), а две другие — в начале и конце марта 2020 года (Ramsay v2.a и v2.b).
Каждая версия была разной и заражала жертв разными способами, но по своей сути основной задачей вредоносного ПО было сканирование зараженного компьютера и сбор документов Word, PDF и ZIP в скрытой папке хранилища, готовой к последующей фильтрации через некоторое время.

Другие версии также включали модуль распространения, который добавлял копии вредоносного программного обеспечения Ramsay ко всем файлам PE (переносимым исполняемым файлам), найденным на съемных дисках и в сетевых ресурсах. Считается, что это был механизм, который вредоносная программа использовала для преодоления воздушного разрыва и достижения изолированных сетей, поскольку пользователи, скорее всего, перемещали зараженные исполняемые файлы между различными уровнями сети компании и в конечном итоге оказывались в изолированной системе.

ESET говорит, что в ходе своего исследования он не смог точно идентифицировать модуль эксфильтрации Рамсея или определить, как операторы Рамсея извлекали данные из систем с воздушным зазором.

Тем не менее, хотя этот аспект атак остается неизвестным, в реальной жизни, очевидно, имели место.
«Первоначально мы обнаружили экземпляр Ramsay в VirusTotal», — сказал исследователь ESET Игнасио Санмиллан. «Этот образец был загружен из Японии и привел нас к открытию дополнительных компонентов и версий платформы».
Исследователь не сделал формальной ссылки на то, кто может стоять за Рамсей. Тем не менее, Санмиллан сказал, что вредоносное ПО содержало большое количество общих артефактов с Ретро, ​​разновидностью вредоносного ПО, ранее разработанной DarkHotel, хакерской группой, которая, по мнению многих, действует в интересах правительства Южной Кореи.

 

Ramsay-Retro code similarities
Image: ESET

 

Источник: www.zdnet.com

Перевод: Анна М.

Понравилась статья? У нас таких есть еще — www.cryptocity.tech