Empresa descobre malware que sequer precisa de conexão para infectar sistemas
Por Felipe Ribeiro | 15 de Maio de 2020 às 09h19
Pesquisadores da ESET descobriram um malware extremamente avançado e perigoso, capaz de roubar dados e arquivos de dispositivos que fazem uso de sistemas de conexão air gap, muito comuns em órgãos governamentais e de alto nível de confidencialidade por não terem nenhum tipo de ligação com redes públicas de internet. A praga, chamada de Ramsay, foi projetada justamente para afetar sistemas sob essas regras de segurança e considerados invioláveis.
A ESET diz ter identificado três versões do Ramsay, uma criada em setembro (Ramsey v1) e outras duas em março (Ramsey v2.q e v2.b), sugerindo que os criminosos estão agindo conforme as empresas identificam as ameaças. Uma dessas versões, inclusive, contém um módulo espalhador que é considerado altamente agressivo e é capaz de infectar executáveis portáteis encontrados em dispositivos de armazenamento removíveis, como pendrives. Os pesquisadores acreditam que esse é o mecanismo pelo qual o malware é transportado para dispositivos e redes isolados.
Depois de infectar uma máquina, o malware rouba arquivos Word, PDF e ZIP, juntamente com outras informações confidenciais, antes de esperar uma oportunidade de transportar os dados para fora do sistema fechado. Ainda não está claro, porém, como o Ramsay é capaz de extrair dados de ambientes com air gap, com os quais os operadores do malware não têm como se comunicar remotamente.
- Hackers chineses estão tentando roubar pesquisas sobre a COVID-19
- Intel e Microsoft criam técnica contra malware que transforma arquivos em fotos
- Hackers estão vendendo acesso a redes corporativas na dark web
O pesquisador da ESET, Ignacio Sanmillan, sugeriu que um hacker pode comprometer um dispositivo conectado à Internet usado para transferir arquivos para sistemas com air gap, que podem ser usados para executar a extração ou então podem ter acesso físico à rede infectada. Embora o malware não tenha sido formalmente atribuído a um grupo de criminosos cibernéticos, Sanmillan acredita que o Ramsay compartilha qualidades comuns com o Retro, uma variedade de malware desenvolvida e operada pelo sindicato sul-coreano DarkHotel.
Fonte: ZDNet