Así es Ramsay, la última operación de espionaje detectada por Eset
- Actualidad
Los investigadores de su laboratorio han descubierto Ramsay, una operación de ciberespionaje no conocida hasta el momento. El framework o conjunto de herramientas usado por los atacantes ha sido confeccionado para recoger y extraer documentos sensibles desde sistemas aislados que no están conectados ni a Internet ni a ningún otro sistema online. Dado que su número de víctimas es aún escaso, podría haberse descubierto en proceso de desarrollo.
Recomendados: WEBINAR >> Vídeo colaboración y reuniones virtuales para una comunicación efectiva Registro WEBINAR >> Automatización Inteligente de Procesos para asegurar la continuidad del negocio Registro |
Según explica Eset en un comunicado, sus especialistas encontraron una instancia de Ramsay en una muestra de VirusTotal cargada desde Japón y eso les llevó a descubrir otros componentes, otras versiones de este framework y otras prueba, que han llevado a concluir que se trata de una operación en desarrollo, con algunos vectores de entrega que están siendo afinados todavía.
A tenor de los datos, Ramsay ha pasado por diversas iteraciones basadas en instancias diferentes del framework, lo que demuestra una progresión lineal en el número de sus capacidades y en su complejidad. Parece ser, de acuerdo con la firma de seguridad, que los desarrolladores a cargo de los vectores de infección están probando diferentes enfoques, como utilizar exploits antiguos para vulnerabilidades de Microsoft Word o desplegar aplicaciones troyanizadas para ser entregadas a través de ataques de phishing dirigido. Las tres versiones descubiertas difieren en complejidad y sofisticación, siendo la tercera la más avanzada, especialmente en lo relacionado con la evasión y la persistencia.
La arquitectura de Ramsay proporciona una serie de capacidades gestionadas a través de un mecanismo de control:
- Recopilación de archivos y almacenamiento encubierto: el objetivo primordial de esta operación es recopilar todos los documentos Microsoft Word existentes dentro del sistema objetivo del ataque.
- Ejecución de comandos: el protocolo de control de Ramsay implementa un método de análisis descentralizado y la recuperación de comandos desde documentos de control.
- Difusión: Ramsay incorpora un componente que parece diseñado para operar dentro de redes aisladas.
Su diseño le permitiría permite operar en redes aisladas, es decir, en redes no conectadas a Internet.