• admin

Il malware Ramsay ruba file sensibili dalle reti air-gapped: tutto quello che c’è da sapere

Si chiama Ramsay il nuovo toolkit malware per il cyber spionaggio che potrebbe consentire ai criminal hacker di rubare file sensibili dalle reti di tipo air-gapped, cioè isolate da Internet. Il suo codice malevolo è ancora in fase di sviluppo attivo, ma il target a cui mira lo rende molto pericoloso. Ecco tutti i dettagli



L'ulima minaccia in fatto di cyber spionaggio si chiama Ramsay ed è in grado di raccogliere ed estrarre documenti sensibili dalle reti di tipo air-gapped utilizzate tipicamente per aumentare il livello di sicurezza di una LAN isolandola completamente da Internet o da altre reti non sicure.


Un nuovo allarme cyber spionaggio

Il malware, scoperto da ricercatori di sicurezza ESET, sembrerebbe essere ancora in fase di sviluppo ma ritenuto particolarmente pericoloso proprio per la tipologia di target che è in grado di colpire: ricordiamo, infatti, che la tecnologia air-gapped viene tipicamente utilizzata per mettere in sicurezza le reti di controllo delle aziende di rilevanza strategica come centrali nucleari o industrie chimiche o dei sistemi che gestiscono pagamenti e transazioni finanziarie.


Una prima istanza di Ramsay è stata individuata dai ricercatori ESET in un campione caricato dal Giappone su VirusTotal e, dai timestamp, risulta che l’inizio dello sviluppo del toolkit malware risale alla fine del 2019.


Alcune caratteristiche del codice malevolo farebbero pensare ad un collegamento con il gruppo criminale DarkHotel, un APT già conosciuto negli ambienti della cyber security per aver condotto operazioni di cyber spionaggio fin dal 2004 e che finora, a quanto si sa, hanno preso di mira entità governative in Cina e Giappone.

Al momento, per fortuna, sono ancora poche le vittime colpite dal malware Ramsay fino ad oggi.


Malware Ramsay: i dettagli tecnici

Come dicevamo, Ramsay sarebbe ancora in fase di sviluppo. Finora, infatti, sono stati identificati tre differenti campioni del malware ai quali man mano sono state aggiunte nuove funzionalità.



Dalle indagini eseguite dai ricercatori ESET risulta che tutti e tre i campioni di Ramsay sono stati finora già sfruttati in attacchi reali utilizzando differenti vettori di attacco che in qualche modo i criminal hacker sono riusciti a fare arrivare all'interno delle reti air-gapped (probabilmente sfruttando una “talpa” interna all'organizzazione target).


Uno di questi è costituito da documenti RTF dannosi, mentre un altro era un file binario camuffato da file di installazione del noto tool 7zip per la gestione degli archivi compressi.

Una volta aperti, i payload delle varie varianti di Ramsay avviano la loro catena infettiva sfruttando una vecchia vulnerabilità di tipo RCE (Remote Code Execution) identificata come CVE-2017-0199 e in grado di sfruttare una falla nel modo in cui Microsoft Word e WordPad analizzano i file prima di aprirli. Utilizzando documenti malevoli appositamente creati, i criminal hacker riescono così ad eseguire codice arbitrario sulla macchina colpita.



In particolare, i payload sono in grado di eseguire un installer (lmsch.exe nell’ultima variante di Ramsay, netwiz.exe nelle due precedenti) che consente di attivare i moduli con le varie funzionalità del malware.


In particolare, una volta attivi, questi moduli consentono al malware di:

  • raccogliere tutti i documenti Word archiviati nella macchina infetta (nelle versioni più recenti di Ramsay anche i file PDF e gli archivi compressi in formato ZIP);

  • eseguire una escalation dei privilegi che potrebbe teoricamente consentire ai criminal hacker di prendere il pieno controllo dei sistema;

  • effettuare screenshot del monitor;

  • avviare una scansione alla ricerca di condivisioni di rete e unità rimovibili che il malware utilizza poi per diffondersi ulteriormente all'interno della rete air-gapped.


Come se non bastasse, nelle ultime due varianti di Ramsay, i payload sono in grado anche di installare un rootkit.

Dall'analisi del report di sicurezza pubblicato dai ricercatori ESET si scopre, inoltre, che Ramsay implementa anche diversi metodi di persistenza. Quello più interessante e pericoloso è stato soprannominato Phantom DLL Hijacking ed è stato progettato per abusare del fatto che molte applicazioni Windows utilizzano ancora dipendenze obsolete non strettamente necessarie per le funzionalità dell’applicazione stessa. I moduli contenenti il codice malevolo vengono, appunto, diffusi sotto forma di librerie in formato DLL, il che rende più difficoltosa l’identificazione da parte dei software di controllo.


Infine, un’altra particolarità che rende di fatto unico Ramsay nel panorama dei malware finora scoperti è che non utilizza alcun metodo di comunicazione con un server C2 di comando e controllo. D'altronde, non potrebbe neanche farlo, visto che è progettato per funzionare all'interno di reti air-gapped isolate da Internet. L’esfiltrazione dei dati avverrebbe, quindi, tramite un componente esterno che però i ricercatori ESET non sono stati ancora in grado di identificare.


Come mitigare il rischio di un attacco

Al momento non esiste una soluzione di difesa in grado di identificare e bloccare un possibile attacco condotto col malware Ramsay.


Per difendere le reti air-gapped è possibile solo mettere in pratica alcune buone regole di sicurezza informatica che consistono nel non collegare mai dispositivi USB alle macchine collegate a queste tipologie di network senza prima sottoporli ad una scansione virale e, comunque sia, non eseguire mai file RTF, DOC o ZIP se non si è più che certi della loro provenienza sicura.



Fonte CyberSecurity 360: https://www.cybersecurity360.it/nuove-minacce/il-malware-ramsay-ruba-file-sensibili-dalle-reti-air-gapped-tutto-quello-che-ce-da-sapere/

0 visualizzazioni

©2019 by Enigma Defense Srl. All rights reserved.

Enigma Defense S.r.l.

P.IVA 10609041008 | +39 06 8881 6605 | info@enigmadefense.it | enigmadefense@messaggipec.it

Sede Legale: Via Gino Capponi, 116 - 00179 Roma RM

Sede Operativa: Via Appia Nuova, 669 - 00179 Roma RM