¡CONTENIDO BLOQUEADO!
Aquí hay un vídeo que no puedes ver debido a tu configuración de cookies.
Puedes ver nuestra política de cookies o abrir el vídeo en youtube.com
Los investigadores del laboratorio de la firma europea de seguridad ESET han descubierto una operación de ciberespionaje no conocida hasta el momento denominada Ramsay. El framework o conjunto de herramientas usado por los atacantes ha sido confeccionado para recoger y extraer documentos sensibles desde sistemas aislados que no están conectados ni a Internet ni a ningún otro sistema online. El número de víctimas es aún escaso, por lo que ESET cree que se trata de una operación en proceso de desarrollo.
“Encontramos una instancia de Ramsay en una muestra de VirusTotal cargada desde Japón y eso nos llevó a descubrir otros componentes, otras versiones de este framework y otras pruebas que nos hacen concluir que se trata de una operación en desarrollo, con algunos vectores de entrega que están siendo afinados todavía”, afirma Alexis Dorais-Joncas, responsable del equipo de investigación de ESET en Montreal.
De acuerdo con los descubrimientos de ESET, Ramsay ha pasado por diversas iteraciones basadas en instancias diferentes del framework, lo que demuestra una progresión lineal en el número de sus capacidades y en su complejidad. Parece ser que los desarrolladores a cargo de los vectores de infección están probando diferentes enfoques, como utilizar exploits antiguos para vulnerabilidades de Microsoft Word o desplegar aplicaciones troyanizadas para ser entregadas a través de ataques de phishing dirigido. Las tres versiones descubiertas difieren en complejidad y sofisticación, siendo la tercera la más avanzada, especialmente en lo relacionado con la evasión y la persistencia.
En este punto, Josep Albors, director de Concienciación y e Investigación de ESET España, apunta que “aunque el objetivo principal es la recopilación de todos los documentos de Word que existen en el sistema, últimamente también están interesados en los archivos PDF Y ZIP comprimidos”. Una vez localizados esos ficheros, Ramsay los cifra y los comprime para hacerlos más manejables y, como diferencia a otros ataques similares, “este malware funciona de forma autónoma y no dispone de un centro de mando y control, y no depende de órdenes externas”. Además incluye un escáner de red en busca de sistemas vulnerables, aprovechando el conocido exploit Eternal Blue.
Según Albors es difícil atribuir este malware a nadie concreto, y teme que se pueda tratar de una ataque de ‘falsa bandera’. “Hemos comprobado que hay metadatos en coreano, pero sin más información no podemos atribuir a ningún grupo conocido la realización de este framework y herramienta de espionaje”.
Forma de operar
La arquitectura de Ramsay proporciona una serie de capacidades gestionadas a través de un mecanismo de control:
Recopilación de archivos y almacenamiento encubierto: el objetivo primordial de esta operación es recopilar todos los documentos Microsoft Word existentes dentro del sistema objetivo del ataque.
Ejecución de comandos: el protocolo de control de Ramsay implementa un método de análisis descentralizado y la recuperación de comandos desde documentos de control.
Difusión: Ramsay incorpora un componente que parece diseñado para operar dentro de redes aisladas.
