
El supuesto aislamiento de los sistemas air gapped, cada día lo es un poco menos. Si hace unos días hablábamos de AiR-ViBeR, hoy es el turno de Ramsay. Y no, desgraciadamente no hablo de Gordon, el popular chef televisivo británico. Hablo de una nueva amenaza, detectada y hecha pública por la empresa de seguridad ESET, y que si bien no es algo por lo que se tengan que preocupar la mayoría de los mortales, sí que debe preocupar bastante a los responsables de sistemas y redes que se encuentran aisladas de otras redes y, por supuesto, de Internet, por lo sensible de la información que manejan.
En el informe publicado hoy por ESET, vemos que su esquema de funcionamiento es el siguiente:
- La víctima recibe un correo electrónico con un archivo RTF (formato de texto enriquecido) adjunto.
- Si la víctima descarga y ejecuta el documento, el archivo intenta usar las vulnerabilidades CVE-2017-1188 o CVE-2017-0199 para infectar al usuario con el malware Ramsay.
- El módulo recolector del patógeno se inicia. Este componente analiza todo el sistema de la víctima y reúne documentos de Word, PDF y ZIP en una carpeta de almacenamiento oculta.
- El módulo de difusión de Ramsay también se activa. Su función es añadir una copia del malware a todos los archivos PE (ejecutables portables, sin instalación) que se encuentran en unidades extraíbles y recursos compartidos de red.
- El malware espera hasta que el atacante despliegue otro módulo que pueda filtrar los datos recopilados.
Durante las pruebas, los investigadores no fueron capaces de encontrar la pieza restante, es decir, el módulo responsable de exfiltrar los datos llegado el momento. Cabe interpretar, por lo tanto, que su uso debe ser especialmente selectivo, ya sea para dificultar a los investigadores el averiguar qué sistema emplea Ramsay para detectar la ruptura del aislamiento o, también es posible, para hacer más complejo el averiguar el origen del patógeno.
0 comentarios
Deja un comentario