Investigador detecta nuevo malware que se dice que está «adaptado para redes con espacio de aire»

Un investigador de ciberseguridad en ESET publicó hoy un análisis de una nueva pieza de malware, una muestra de la cual detectaron en el motor de escaneo de malware Virustotal y cree que el pirata informático detrás de él probablemente esté interesado en algunas computadoras de alto valor protegidas detrás de redes con espacio de aire.

Apodado ‘ Ramsay ‘ , el malware todavía está en desarrollo con dos variantes más (v2.ay v2.b) detectadas en la naturaleza y todavía no parece ser un marco de ataque complejo basado en los detalles que el investigador compartió.

Sin embargo, antes de seguir leyendo, es importante tener en cuenta que el malware en sí no aprovecha ninguna técnica extraordinaria o avanzada que pueda permitir a los atacantes saltar redes con espacios de aire para infiltrarse o filtrar datos de las computadoras objetivo.

Según el investigador de ESET, Ignacio Sanmillan, Ramsay se infiltra en las computadoras seleccionadas a través de documentos maliciosos, potencialmente enviados a través de un correo electrónico de phishing o caído usando una unidad USB, y luego explota una antigua vulnerabilidad de ejecución de código en Microsoft Office para apoderarse del sistema.

«Se encontraron varias instancias de estos mismos documentos maliciosos cargados en motores de sandbox públicos, etiquetados como artefactos de prueba como access_test.docx o Test.docx que denotan un esfuerzo continuo para probar este vector de ataque específico», dijo el investigador .

El malware Ramsay se compone principalmente de dos funcionalidades principales:

  • Recopilar todos los documentos de Word, archivos PDF y archivos ZIP existentes dentro del sistema de archivos del destino y almacenarlos en una ubicación predefinida en el mismo sistema o directamente en una red o unidades extraíbles.
  • Extendiéndose a otras computadoras que se usan dentro de la misma instalación aislada infectando todos los archivos ejecutables disponibles en una red compartida y unidades extraíbles.

Según el investigador, las muestras de Ramsay que encontraron no tienen un protocolo de comunicación C&C basado en la red, ni ningún intento de conectarse a un host remoto con fines de comunicación.

malware de airgap

Ahora surge la pregunta, cómo se supone que los atacantes deben filtrar datos de un sistema comprometido.

Honestamente, no hay una respuesta clara a esto en este momento, pero el investigador especula que el malware podría haber sido «adaptado para redes con espacios de aire» con escenarios similares, considerando que la única opción que queda es acceder físicamente a la máquina y robar los datos recopilados con un USB armado.

«Es importante notar que existe una correlación entre las unidades de destino que Ramsay escanea para la propagación y la recuperación de documentos de control», dijo el investigador de ESET.

«Esto evalúa la relación entre las capacidades de difusión y control de Ramsay que muestran cómo los operadores de Ramsay aprovechan el marco para el movimiento lateral, denotando la probabilidad de que este marco haya sido diseñado para operar dentro de redes con espacios de aire».

«La visibilidad actual de los objetivos es baja; según la telemetría de ESET, se han descubierto pocas víctimas hasta la fecha. Creemos que esta escasez de víctimas refuerza la hipótesis de que este marco se encuentra en un proceso de desarrollo continuo, aunque la baja visibilidad de las víctimas también podría ser debido a la naturaleza de los sistemas dirigidos que se encuentran en redes con espacio de aire «, agregó.

Sin embargo, la falta de evidencia técnica y estadística aún no respalda esta teoría y sigue siendo una suposición general.

Además, dado que el malware aún está en desarrollo, es demasiado pronto para decidir si el malware solo ha sido diseñado para apuntar a redes con espacios abiertos.

Es probable que las futuras versiones del malware tengan una implicación para conectarse con un servidor remoto controlado por un atacante para recibir comandos y extraer datos.

Nos hemos comunicado con el investigador de ESET para obtener más claridad sobre el reclamo de «brecha de aire» y actualizaremos esta historia una vez que él responda.

ACTUALIZACIÓN: Investigador explica los escenarios de ‘Air Gap’

El investigador Ignacio Sanmillan, quien descubrió y analizó el malware Ramsay, proporcionó la siguiente explicación para nuestros lectores.

«Solo tenemos una copia del agente Ramsay, que solo tiene código para agregar y comprimir los datos robados de una manera muy descentralizada y encubierta en el sistema de archivos local del host infectado. En base a esto, asumimos que otro componente es responsable de escanear el sistema de archivos, localizar los archivos comprimidos y realizar la exfiltración real «.

Al preguntar si el atacante debe confiar en el acceso físico para la filtración de datos, Sanmillan dijo:

«Hay varias formas en que el atacante podría hacer esto. No hemos visto esta operación realizada; sin embargo, tenemos algunas hipótesis sobre cómo el atacante podría hacer esto. Esas son solo nuestra suposición mejor educada y pura especulación en este momento, así que por favor trate esos dos escenarios hipotéticos como tales «.

» Escenario 1 : Imagine el Sistema A, conectado a Internet y bajo el control total de los operadores de Ramsay, y el Sistema B, una computadora con espacio de aire infectado por el agente de Ramsay. Luego imagine a un usuario legítimo de esos sistemas ocasionalmente transfiriendo archivos entre ambos sistemas utilizando una unidad extraíble «.

«Cuando la unidad se inserta en el Sistema A, el atacante podría decidir colocar un archivo de control especial en la unidad extraíble que, cuando se conecta al Sistema B, provocaría que el agente Ramsay ejecute el exfiltrador Ramsay que se construiría para recuperar la puesta en escena «Datos robados y copiarlos en la unidad extraíble para su posterior recuperación una vez que la unidad extraíble se conecta al Sistema A. Este escenario es una variación de cómo Sednit / APT28 operaba USBStealer».

«USBStealer copió sistemáticamente los datos robados en la unidad extraíble utilizada entre el Sistema A y el Sistema B, mientras Ramsay organiza los datos robados localmente para una futura exfiltración explícita».

» Escenario 2– Imagine al agente de Ramsay ejecutándose durante días o semanas en una red con espacio de aire, organizando en el sistema de archivos local todos los datos que puede encontrar en las unidades de red y todas las unidades extraíbles que se conectaron al sistema «.

» Entonces, en algún momento, el el atacante decide que es tiempo de exfiltración. Tendría que obtener acceso físico al sistema infectado y obtener la ejecución del código para ejecutar el exfiltrador Ramsay, o en caso de que el sistema no tenga cifrado de disco completo, inicie el sistema desde una unidad extraíble, monte el sistema de archivos, analícelo en recuperar los datos robados bien organizados y salir. «

» Este escenario es más elaborado y requiere la presencia física de un operativo / cómplice, pero aún podría ser plausible ya que permitiría una operación muy rápida en el sitio «.

Para responder si el autor del malware puede integrar el módulo de comunicación C&C remoto en futuras versiones, el investigador dijo:

«Ramsay tiene una serie de funcionalidades comunes implementadas en sus versiones, que es el protocolo basado en el archivo de control y cómo se recuperan los artefactos involucrados en este protocolo de medios extraíbles y recursos compartidos de red «.

«Esto denota que la evaluación de estas técnicas se tuvo en cuenta al diseñar este malware, todo lo cual apunta a la implementación de capacidades para la operación sin la necesidad de ninguna conexión de red».

«Parece que si los atacantes aprovecharan las técnicas que dependen de los artefactos de la red no se correlacionarían con la filosofía de este malware. De hecho, creemos que Ramsay puede estar en desarrollo, pero estamos muy inclinados a creer que no introducirán una red. componente de exfiltración «.

Fuente: https://thehackernews.com/2020/05/airgap-network-malware.html

Daniel Perez

Daniel Perez

Dejar un comentario

Este sitio web utiliza cookies para garantizar que obtenga la mejor experiencia. Más información