Cercetătorii au descoperit o formă nouă și avansată de malware, capabilă să ocolească chiar și cele mai stricte măsuri de securitate.
Identificat de firma de securitate cibernetică ESET, malware-ul Ramsay recent descoperit pare să fi fost creat în mod expres pentru a se infiltra pe dispozitive air-gapped și rețele, care sunt considerate aproape imposibil de spart.
După ce a infectat un sistem, programele malware convertește fișierele Word, PDF și ZIP, împreună cu alte informații sensibile, înainte de a aștepta oportunitatea să transporte datele din sistemul închis.
Rețelele air-gapped
Practica aer-gapping-ului permite întreprinderilor să izoleze rețelele sau calculatoarele individuale de la rețeaua corporativă mai largă și, de asemenea, de internetul public.
Această practică mai strictă de măsuri de securitate este folosită în principal de întreprinderile mari și entitățile guvernamentale pentru a proteja documente, informații și proprietate intelectuală extrem de sensibile.
ESET susține că a identificat trei versiuni ale programului malware Ramsay, una construită în septembrie și alte două în martie, ceea ce sugerează că operatorii aduc deseori îmbunătățiri iterative.
O versiune conține un modul de propagare, despre care se spune că este extrem de agresiv, capabil să infecteze executabile portabile (PE) găsite pe dispozitivele de stocare portabile, cum ar fi stick-urile USB. Cercetătorii consideră că acesta este mecanismul prin care malware-ul este transportat pe dispozitive și rețele izolate.
Încă nu este clar modul în care Ramsay este capabil să extragă date din medii air-gapped, cu care operatorii malware nu au cum să comunice de la distanță.
Cercetătorul ESET, Ignacio Sanmillan, a sugerat că un hacker ar putea compromite un dispozitiv conectat la Internet, folosit pentru a transfera fișiere în sistemele air-gapped, care poate fi apoi utilizat pentru a efectua exfiltrarea sau poate avea acces fizic la rețeaua infectată.
Deși malware-ul nu a fost atribuit în mod oficial unui grup cibernetic, Sanmillan consideră că Ramsay împărtășește calități comune cu Retro, o tulpină malware dezvoltată și operată de sindicatul sud-coreean DarkHotel.