Onderzoekers van antivirusbedrijf ESET hebben spionagemalware ontdekt die zich verspreidt door zogeheten portable executable (PE)-bestanden op usb-sticks en netwerkschijven te infecteren. De malware, die Ramsay wordt genoemd, lijkt te zijn ontwikkeld om binnen air-gapped netwerken te opereren die niet met internet zijn verbonden.
In tegenstelling tot veel andere malware beschikt Ramsay niet over een command & control-gebaseerd communicatieprotocol of probeert het met een server op internet verbinding te maken om zo commando's te ontvangen. Zodra de malware actief is voert die geheel autonoom zijn opdracht uit.
Hoewel de malware ontwikkeld lijkt te zijn voor het infecteren van organisaties die van air-gapped netwerken gebruikmaken, begint de initiële infectie met een kwaadaardig docx-document. Dit document bevat een exploit die misbruik maakt van een bekende kwetsbaarheid in Microsoft Office. Op 11 april 2017 verscheen voor deze kwetsbaarheid een beveiligingsupdate. Toch zijn er organisaties die de update niet hebben geïnstalleerd. Het Office-lek is ook te vinden in de Top 10 van meest aangevallen kwetsbaarheden die door de Amerikaanse overheid werd samengesteld.
Zodra Ramsay op een systeem actief is verzamelt die van lokale schijven, aangesloten externe schijven en netwerkschijven Word-documenten, pdf-bestanden en zip-archieven. Deze bestanden worden gecomprimeerd via het programma WinRAR dat door de malware op het systeem wordt gedownload. Daarnaast besmet Ramsay op usb-sticks en netwerkschijven aanwezige PE-bestanden.
Zodra een besmet PE-bestand op een schoon systeem wordt geopend kan de malware zich verder verspreiden. Op deze manier kan Ramsay ook systemen infecteren die niet met internet zijn verbonden. Hoe de malware verzamelde documenten uiteindelijk weet te exfiltreren is onbekend. Dit gebeurt via een extern onderdeel dat de onderzoekers nog niet hebben gevonden.
ESET laat weten dat de malware bij slechts een paar slachtoffers is aangetroffen. Aan de hand van gevonden versies lijkt het erop dat Ramsay nog in ontwikkeling is.
Deze posting is gelocked. Reageren is niet meer mogelijk.