Empresa descobre malware que sequer precisa de conexão para infectar sistemas

Por Felipe Ribeiro | 15 de Maio de 2020 às 09h19
Shutterstock

Pesquisadores da ESET descobriram um malware extremamente avançado e perigoso, capaz de roubar dados e arquivos de dispositivos que fazem uso de sistemas de conexão air gap, muito comuns em órgãos governamentais e de alto nível de confidencialidade por não terem nenhum tipo de ligação com redes públicas de internet. A praga, chamada de Ramsay, foi projetada justamente para afetar sistemas sob essas regras de segurança e considerados invioláveis.

A ESET diz ter identificado três versões do Ramsay, uma criada em setembro (Ramsey v1) e outras duas em março (Ramsey v2.q e v2.b), sugerindo que os criminosos estão agindo conforme as empresas identificam as ameaças. Uma dessas versões, inclusive, contém um módulo espalhador que é considerado altamente agressivo e é capaz de infectar executáveis ​​portáteis encontrados em dispositivos de armazenamento removíveis, como pendrives. Os pesquisadores acreditam que esse é o mecanismo pelo qual o malware é transportado para dispositivos e redes isolados.

Depois de infectar uma máquina, o malware rouba arquivos Word, PDF e ZIP, juntamente com outras informações confidenciais, antes de esperar uma oportunidade de transportar os dados para fora do sistema fechado. Ainda não está claro, porém, como o Ramsay é capaz de extrair dados de ambientes com air gap, com os quais os operadores do malware não têm como se comunicar remotamente.

Imagem: ZDNet

O pesquisador da ESET, Ignacio Sanmillan, sugeriu que um hacker pode comprometer um dispositivo conectado à Internet usado para transferir arquivos para sistemas com air gap, que podem ser usados ​​para executar a extração ou então podem ter acesso físico à rede infectada. Embora o malware não tenha sido formalmente atribuído a um grupo de criminosos cibernéticos, Sanmillan acredita que o Ramsay compartilha qualidades comuns com o Retro, uma variedade de malware desenvolvida e operada pelo sindicato sul-coreano DarkHotel.

Fonte: ZDNet

Gostou dessa matéria?

Inscreva seu email no Canaltech para receber atualizações diárias com as últimas notícias do mundo da tecnologia.