Ramsay Malware
Ramsay , även kallad Ramsay Malware , är ett ramverk för cyberspionage och verktygslåda som upptäcktes av ESET Research 2020.
Ramsay är speciellt skräddarsydd för Windows-system på nätverk som inte är anslutna till internet och som också är isolerade från företags intranät , så kallade luftglappade nätverk, från vilka den stjäl känsliga dokument som Word-dokument efter att först ha samlat dem i en dold lagringsmapp .
ESET-forskare hittade olika versioner av skadlig programvara och tror att den i maj 2020 fortfarande var under utveckling. De numrerade versionerna Ramsay Version 1, Ramsay Version 2a och Ramsay Version 2b. Det allra första mötet med skadlig programvara var ett prov som laddades upp från Japan till VirusTotal . Den första versionen kompilerades i september 2019. Den senaste versionen som de hittade var mest avancerad.
Upptäckten av Ramsay sågs som betydelsefull eftersom skadlig programvara sällan kan rikta sig mot fysiskt isolerade enheter.
Författarskap
Även om författarskap inte har tillskrivits, har det många gemensamma artefakter med Retro, en bakdörr av hackare som Darkhotel tros fungera i Sydkoreas intresse .
Skadlig programvara fungerar
De tre versionerna av Ramsay som ESET hittade fungerar på olika sätt.
Ramsay version 1 innehåller inget rootkit , medan de senare versionerna gör det.
Ramsay version 1 och 2.b utnyttjar CVE-2017-0199, en "Microsoft Office/WordPad Remote Code Execution Vulnerability w/Windows API."
Version 2.b använder även exploit CVE-2017-11882 som en attackvektor.
Sättet på vilket Ramsay kan spridas är via flyttbara medier som USB-minnen och nätverksresurser. På så sätt kan skadlig programvara hoppa över luftgapet.