Así es Ramsay, la última operación de espionaje detectada por Eset

  • Actualidad

Los investigadores de su laboratorio han descubierto Ramsay, una operación de ciberespionaje no conocida hasta el momento. El framework o conjunto de herramientas usado por los atacantes ha sido confeccionado para recoger y extraer documentos sensibles desde sistemas aislados que no están conectados ni a Internet ni a ningún otro sistema online. Dado que su número de víctimas es aún escaso, podría haberse descubierto en proceso de desarrollo.

 

Recomendados: 

WEBINAR >> Vídeo colaboración y reuniones virtuales para una comunicación efectiva Registro 

WEBINAR >> Automatización Inteligente de Procesos para asegurar la continuidad del negocio Registro

Según explica Eset en un comunicado, sus especialistas encontraron una instancia de Ramsay en una muestra de VirusTotal cargada desde Japón y eso les llevó a descubrir otros componentes, otras versiones de este framework y otras prueba, que han llevado a concluir que se trata de una operación en desarrollo, con algunos vectores de entrega que están siendo afinados todavía.

A tenor de los datos, Ramsay ha pasado por diversas iteraciones basadas en instancias diferentes del framework, lo que demuestra una progresión lineal en el número de sus capacidades y en su complejidad. Parece ser, de acuerdo con la firma de seguridad, que los desarrolladores a cargo de los vectores de infección están probando diferentes enfoques, como utilizar exploits antiguos para vulnerabilidades de Microsoft Word o desplegar aplicaciones troyanizadas para ser entregadas a través de ataques de phishing dirigido. Las tres versiones descubiertas difieren en complejidad y sofisticación, siendo la tercera la más avanzada, especialmente en lo relacionado con la evasión y la persistencia.

La arquitectura de Ramsay proporciona una serie de capacidades gestionadas a través de un mecanismo de control:

- Recopilación de archivos y almacenamiento encubierto: el objetivo primordial de esta operación es recopilar todos los documentos Microsoft Word existentes dentro del sistema objetivo del ataque.

- Ejecución de comandos: el protocolo de control de Ramsay implementa un método de análisis descentralizado y la recuperación de comandos desde documentos de control.

- Difusión: Ramsay incorpora un componente que parece diseñado para operar dentro de redes aisladas.

Su diseño le permitiría permite operar en redes aisladas, es decir, en redes no conectadas a Internet.