ESET trafił na jedną z pierwszych wersji Ramsey stosunkowo niedawno, bo na początku tego roku. Uwagę specjalistów przykuł jeden z przesłanych na VirusTotal plików. Obecnie z telemetrii wiemy, że jego ofiarą padła dotąd stosunkowo niewielka liczba podmiotów. Ale może być to spowodowane faktem, że zagrożenie jest nowe i nadal w fazie rozwoju.
Nie ulega wątpliwości, że Ramsey to zupełnie nowa forma złośliwego oprogramowania. Przestępcy są zainteresowani tzw. sieciami air-gapped, czyli sieciami izolowanymi. Framework będzie mieć więc zastosowanie w bardzo ograniczonych środowiskach i systemach, które jednak zwykle chronią cenne informacje.
Cel: air-gapped network. Zagrożenie stworzono w taki sposób, aby mogło działać bez połączenia z internetem. Nie posiada więc protokołu sieciowego do komunikacji z serwerami C&C. Nie próbuje również komunikować się ze zdalnym hostem. Zagrożenie skanuje wszystkie udziały sieciowe i dyski wymienne w poszukiwaniu potencjalnie wartościowych plików kontrolnych. Jak dotąd specjaliści zweryfikowali trzy wersje Ramsay. Wszystkie są w stanie wyszukiwać i gromadzić pliki MS Word. Jednak nowsze „wydania” wyszukują już także pliki PDF oraz archiwa ZIP.
Najpierw dobry plan, atak później. Dotychczasowe ustalenia specjalistów z ESET potwierdzają jedno – operatorzy Ramsey wypróbowują różne taktyki ataku. Najczęściej jednak sięgają po exploity do systemów Windows (jednak nie te najnowsze) oraz dobry i sprawdzony phishing. Wiele sugeruje, że atakujący posiadają jakąś wiedzę na temat środowiska, które obrali sobie na cel – ponieważ pod tym kątek wybierają wektory ataku.
Źródło: DarkReading