1. За рубежом: реальный мир
  2. Кибервойна и кибербезопасность
Братислава, / ИА Красная Весна

Шпионская программа Ramsay способна похищать данные из изолированных систем

Изображение: TheDigitalWay, pixabay, cc0
персональные данные
персональные данные

Вредоносную программу, которая способна работать в изолированных от интернета системах, обнаружили специалисты компании ESET, сообщает 1 июня CNews.

Шпионская программа под названием Ramsay способна на накопителях проникать в изолированные системы и собирать там данные. Программа-шпион работает в зараженной системе и собирает все вордовские документы, а также файлы в формате pdf.

Специалисты ESET считают, что Ramsay находится в стадии активной разработки: найдены по крайней мере 3 версии данной программы. Более ранние, маркируемые 2019 годом, ищут только вордовские документы, более продвинутые, маркируемые 2020 годом, дополнительно сканируют ПК на наличие pdf-файлов.

Смотрите также:

Россия — последний оплот исторической напряженности. Кургинян в программе «Право знать»

Более старые версии шпиона для проникновения на ПК использовали известные уязвимости CVE-2017-0199 и CVE-2017-11882, более новые версии используют поддельный установщик архиватора 7-Zip.

Попав на нужную систему, один из компонентов шпиона начинает заражать большое количество файлов, видимо, для более широкого охвата. Два других компонента ведут себя не так агрессивно.

Все версии Ramsay сканируют все доступные ресурсы, включая сетевые диски и накопители на предмет вордовских документов и pdf-файлов. Все найденные документы, шпионская программа складывает в отдельную папку, шифрует их и архивирует. Далее к сжатым документам добавляются идентификаторы и все ещё раз шифруется. Созданный зашифрованный архив добавляется к случайному doc-файлу, который при этом остается полностью работоспособен, и на чтение, и на редактирование.

Исследователи пока не смогли найти компонент, который отвечает за вывод данных с зараженной машины, однако, по мнению специалистов, схема работы шпиона в изолированных системах только одна — файлы с зараженной машины складываются на накопитель, который позже подключается к ПК, у которого есть выход в интернет.

Само название вируса специалисты нашли в двоичном коде шпиона. Возможно, речь идёт о Рамси Болтоне (Ramsay Bolton), персонаже сериала «Игры престолов», но скорее это кодовое имя советского разведчика Рихарда Зорге, работавшего в Японии во время Великой Отечественной войны.

С другой стороны, все программная составляющая вируса, указывает на его схожесть с бэкдором Retro, которым пользовалась корейская группировка DarkHote.

Братислава
Комментарии
Загружаются...

Аналитика

от ИА Красная Весна
ico
ico
ico
ico
ico
ico
ico