Un investigador de seguridad cibernética de ESET publicó hoy un análisis de una nueva pieza de malware, una muestra de la cual detectaron en el motor de escaneo de malware Virustotal y creen que el hacker detrás de él probablemente esté interesado en algunas computadoras de alto valor protegidas detrás de redes con brechas de aire.
Apodado ‘Ramsay‘el malware aún está en desarrollo con dos variantes más (v2.a y v2.b) detectadas en la naturaleza y aún no parece ser un marco de ataque complejo según los detalles compartidos por el investigador.
Sin embargo, antes de seguir leyendo, es importante tener en cuenta que el malware en sí mismo no aprovecha ninguna técnica extraordinaria o avanzada que podría permitir a los atacantes saltar redes aisladas para infiltrarse o filtrar datos de las computadoras objetivo.
Según el investigador de ESET, Ignacio Sanmillan, Ramsay se infiltra en las computadoras objetivo a través de documentos maliciosos, potencialmente enviados a través de un correo electrónico de phishing o colocados mediante una unidad USB, y luego explota una vulnerabilidad de ejecución de código antiguo en Microsoft Office para apoderarse del sistema.
«Se encontraron varias instancias de estos mismos documentos maliciosos cargados en motores de sandbox públicos, etiquetados como artefactos de prueba como access_test.docx o Test.docx, lo que indica un esfuerzo continuo para probar este vector de ataque específico», dijo el investigador.
El malware Ramsay consta principalmente de dos funcionalidades principales:
- Recopilar todos los documentos de Word, PDF y archivos ZIP existentes dentro del sistema de archivos del objetivo y almacenarlos en una ubicación predefinida en el mismo sistema o directamente en una red o unidades extraíbles.
- Propagarse a otras computadoras que se utilizan dentro de la misma instalación aislada al infectar todos los archivos ejecutables disponibles en una red compartida y unidades extraíbles.
Según el investigador, las muestras de Ramsay que encontraron no tienen un protocolo de comunicación C&C basado en la red, ni ningún intento de conectarse a un host remoto con fines de comunicación.
Ahora surge la pregunta, cómo se supone que los atacantes extraen datos de un sistema comprometido.
Honestamente, no hay una respuesta clara a esto en este momento, pero los investigadores especulan que el malware podría haber sido «adaptado para redes con brechas de aire» con escenarios similares, considerando que la única opción que queda es acceder físicamente a la máquina y robar los datos recopilados. con un USB armado.
«Es importante notar que existe una correlación entre los escaneos de Ramsay de las unidades de destino para la recuperación de documentos de propagación y control», dijo el investigador de ESET.
«Esto evalúa la relación entre las capacidades de propagación y control de Ramsay y muestra cómo los operadores de Ramsay aprovechan el marco para el movimiento lateral, lo que indica la probabilidad de que este marco haya sido diseñado para operar dentro de redes con espacios de aire».
‘La visibilidad actual de los objetivos es baja; según la telemetría de ESET, hasta la fecha se han descubierto pocas víctimas. Creemos que esta escasez de víctimas refuerza la hipótesis de que este marco se encuentra en un proceso de desarrollo continuo, aunque la baja visibilidad de las víctimas también podría deberse a la naturaleza de los sistemas objetivo que se encuentran en redes con brechas de aire ‘, agregó.
Sin embargo, la falta de evidencia técnica y estadística aún no respalda esta teoría y sigue siendo una conjetura amplia.
Además, dado que el malware aún está en desarrollo, es demasiado pronto para decidir si el malware solo se ha diseñado para apuntar a redes con brechas de aire.
Es posible que las versiones futuras del malware tengan la implicación de conectarse con un servidor remoto controlado por un atacante para recibir comandos y filtrar datos.
Nos comunicamos con el investigador de ESET para obtener más claridad sobre el reclamo de «brecha de aire» y actualizaremos esta historia una vez que responda.
ACTUALIZACIÓN: Investigador explica escenarios de ‘brecha de aire’
El investigador Ignacio Sanmillan, quien descubrió y analizó el malware Ramsay, ha brindado la siguiente explicación para nuestros lectores.
«Solo tenemos una copia del agente Ramsay, que solo tiene código para agregar y comprimir los datos robados de una manera muy descentralizada y encubierta en el sistema de archivos local del host infectado. Con base en esto, asumimos que otro componente es responsable de escanear el sistema de archivos, ubicar los archivos comprimidos y realizar la exfiltración real».
Al preguntar si el atacante necesita confiar en el acceso físico para la exfiltración de datos, Sanmillan dijo:
«Hay varias formas en que el atacante podría hacer esto. No hemos visto que se realice esta operación; sin embargo, tenemos algunas hipótesis sobre cómo el atacante podría hacer esto. Esas son solo nuestras conjeturas mejor educadas y pura especulación en este punto, así que por favor trate esos dos escenarios hipotéticos como tales».
«escenario 1 – Imagine el Sistema A, conectado a Internet y bajo el control total de los operadores de Ramsay, y el Sistema B, una computadora con brecha de aire infectada por el agente Ramsay. Luego imagine a un usuario legítimo de esos sistemas transfiriendo ocasionalmente archivos entre ambos sistemas usando una unidad extraíble».
«Cuando la unidad se inserta en el Sistema A, el atacante podría decidir colocar un archivo de control especial en la unidad extraíble que, cuando se conecta al Sistema B, haría que el agente de Ramsay ejecutara el exfiltrador de Ramsay que se crearía para recuperar la puesta en escena. datos robados y copiarlos en la unidad extraíble para su posterior recuperación una vez que la unidad extraíble se conecte al Sistema A. Este escenario es una variación de cómo Sednit / APT28 operaba USBStealer.
«USBStealer copió sistemáticamente los datos robados en la unidad extraíble utilizada entre el Sistema A y el Sistema B, mientras que Ramsay organiza los datos robados localmente para una futura exfiltración explícita».
«Escenario 2 – Imagine que el agente de Ramsay se ejecuta durante días o semanas en una red aislada, almacenando en el sistema de archivos local todos los datos que puede encontrar en las unidades de red y todas las unidades extraíbles que se conectaron al sistema».
«Luego, en algún momento, el atacante decide que es tiempo de exfiltración. Necesitaría obtener acceso físico al sistema infectado y obtener la ejecución del código para ejecutar el exfiltrador Ramsay, o en caso de que el sistema no tenga cifrado de disco completo, arranque el sistema desde una unidad extraíble, monte el sistema de archivos, analícelo para recuperar los datos robados bien organizados y váyase».
«Este escenario es más elaborado y requiere la presencia física de un operativo/cómplice, pero aún podría ser plausible ya que permitiría una operación in situ muy rápida».
Para responder si el autor del malware puede integrar el módulo de comunicación remota C&C en futuras versiones, el investigador dijo:
«Ramsay tiene una serie de funcionalidades comunes implementadas en todas sus versiones, que es el protocolo basado en archivos de control y cómo los artefactos involucrados en este protocolo se recuperan de medios extraíbles y recursos compartidos de red».
«Esto denota que se tuvo en cuenta la evaluación de estas técnicas al diseñar este malware, todo lo cual apunta hacia la implementación de capacidades para operar sin necesidad de ninguna conexión a la red».
«Parece que si los atacantes aprovecharan las técnicas que dependen de los artefactos de la red, no se correlacionarían con la filosofía de este malware. De hecho, creemos que Ramsay puede estar en desarrollo, pero estamos muy inclinados a creer que no introducirán una exfiltración basada en la red. componente. »
