El supuesto aislamiento de los sistemas air gapped, cada día lo es un poco menos. Si hace unos días hablábamos de AiR-ViBeR, hoy es el turno de Ramsay. Y no, desgraciadamente no hablo de Gordon, el popular chef televisivo británico. Hablo de una nueva amenaza, detectada y hecha pública por la empresa de seguridad ESET, y que si bien no es algo por lo que se tengan que preocupar la mayoría de los mortales, sí que debe preocupar bastante a los responsables de sistemas y redes que se encuentran aisladas de otras redes y, por supuesto, de Internet, por lo sensible de la información que manejan.

Ramsay

En el informe publicado hoy por ESET, vemos que su esquema de funcionamiento es el siguiente:

  • La víctima recibe un correo electrónico con un archivo RTF (formato de texto enriquecido) adjunto.
  • Si la víctima descarga y ejecuta el documento, el archivo intenta usar las vulnerabilidades CVE-2017-1188 o CVE-2017-0199 para infectar al usuario con el malware Ramsay.
  • El módulo recolector del patógeno se inicia. Este componente analiza todo el sistema de la víctima y reúne documentos de Word, PDF y ZIP en una carpeta de almacenamiento oculta.
  • El módulo de difusión de Ramsay también se activa. Su función es añadir una copia del malware a todos los archivos PE (ejecutables portables, sin instalación) que se encuentran en unidades extraíbles y recursos compartidos de red.
  • El malware espera hasta que el atacante despliegue otro módulo que pueda filtrar los datos recopilados.

Durante las pruebas, los investigadores no fueron capaces de encontrar la pieza restante, es decir, el módulo responsable de exfiltrar los datos llegado el momento. Cabe interpretar, por lo tanto, que su uso debe ser especialmente selectivo, ya sea para dificultar a los investigadores el averiguar qué sistema emplea Ramsay para detectar la ruptura del aislamiento o, también es posible, para hacer más complejo el averiguar el origen del patógeno.

En este sentido, no obstante, los técnicos de ESET sí que se permiten formular una hipótesis. Al analizar el código de Ramsay, los investigadores encontraron muchos elementos coincidentes con Retro, otro patógeno identificado hace ya tiempo y cuya autoría fue finalmente atribuida a DarkHotel, un grupo de hackers que opera en Corea del Sur y al que le intuyen ciertas relaciones con las autoridades estatales del país.

Todavía queda por mencionar un aspecto relevante, y es que entre septiembre de 2019 y marzo de 2020 se detectaron tres versiones distintas de Ramsay. Esto, para el equipo de ESET podría ser una evidencia de que todavía se encuentra en fase de desarrollo, ya que las diferencias detectadas entre dichas versiones bien podrían apuntar a que, de momento, están realizando pruebas y ampliando funciones para mejorar tanto su operativa como los resultados obtenidos tras una infiltración exitosa.

Fuente y redacción: muyseguridad.net

Compartir