Malware Ramsay sammelt Dokumente in isolierten Air-Gap-Netzwerken
Forscher des Cybersecurity-Unternehmens Eset haben ein neuartiges und „hochentwickeltes“ Malware-Framework entdeckt. Ramsay soll auf das Sammeln, Filtern und die Weitergabe von sensiblen Dokumenten in Air-Gap-Netzwerken ohne Internetanbindung und mit physisch und logisch voneinander getrennten Systemen zugeschnitten sein.
Ramsay-Malware sammelt bereits Dokumente
Primäres Ziel der Ramsay-Malware sei es, alle auf dem infizierten System und auf dessen Netzwerk- und Wechsellaufwerken vorhandenen Microsoft-Word-Dateien, PDF- und Zip-Archive zu sammeln. Anschließend soll Ramsay in der Lage sein, sie im Zieldateisystem zu verstecken, zu verschlüsseln und mithilfe von Winrar komprimiert zu speichern. Die anschließende Verbreitung an die Hintermänner scheint derzeit noch nicht zu funktionieren.
Unter anderem soll sich Ramsay einen alten Exploit aus dem Jahr 2017 zunutze machen, der Microsoft-Word-Schwachstellen ausnutzt. Der Infektionsvektor über alte Windows-Sicherheitslücken zeige, dass in Air-Gap-Netzwerken offenbar die einfachsten Methoden zum Schutz nicht befolgt werden. „Andernfalls würde sich die Entwicklung für Cyberkriminelle nicht lohnen“, so der Eset Security Specialist Thomas Uhlemann. Dennoch sei Ramsay bereits im Einsatz. „Wir haben eine erste Instanz von Ramsay auf Virus Total gefunden“, erklärt der Eset-Forscher Igancio Sanmillan.
Entwicklung offenbar noch nicht abgeschlossen
Aufgrund der geringen Verbreitung der Malware und der noch nicht vollständigen Funktionalität gehen die Forscher davon aus, dass Ramsay entweder für gezielte Angriffe genutzt wird oder schlichtweg noch in der Entwicklung ist. So wollen sie Ramsay in drei Versionen entdeckt haben, die jeweils verschiedene Wege der Infektion gehen und unterschiedlich komplex sind. Neue Erkenntnisse zu Ramsay veröffentlichen die Forscher auf dem Eset-Blog.
Wer steckt hinter Ramsay?
Zu den Hintermännern macht Eset keine Angaben. Die Malware soll jedoch Teile einer Malware namens Retro übernehmen. Retro wird der Hackergruppe Dark Hotel zugeschrieben, die Interessen der südkoreanischen Regierung verfolgen soll.
Das könnte dich auch interessieren:
- Laut Experten: Gefahr von Hackerangriffen in Coronakrise gestiegen
- Hackerangriff: Merkel behält sich Maßnahmen gegen Russland vor
- Bessere Malware-Klassifizierung: Microsoft und Intel entwickeln Stamina-Projekt
Bitte beachte unsere Community-Richtlinien
Wir freuen uns über kontroverse Diskussionen, die gerne auch mal hitzig geführt werden dürfen. Beleidigende, grob anstößige, rassistische und strafrechtlich relevante Äußerungen und Beiträge tolerieren wir nicht. Bitte achte darauf, dass du keine Texte veröffentlichst, für die du keine ausdrückliche Erlaubnis des Urhebers hast. Ebenfalls nicht erlaubt ist der Missbrauch der Webangebote unter t3n.de als Werbeplattform. Die Nennung von Produktnamen, Herstellern, Dienstleistern und Websites ist nur dann zulässig, wenn damit nicht vorrangig der Zweck der Werbung verfolgt wird. Wir behalten uns vor, Beiträge, die diese Regeln verletzen, zu löschen und Accounts zeitweilig oder auf Dauer zu sperren.
Trotz all dieser notwendigen Regeln: Diskutiere kontrovers, sage anderen deine Meinung, trage mit weiterführenden Informationen zum Wissensaustausch bei, aber bleibe dabei fair und respektiere die Meinung anderer. Wir wünschen Dir viel Spaß mit den Webangeboten von t3n und freuen uns auf spannende Beiträge.
Dein t3n-Team