Descubren la operación de espionaje Ramsay

18 mayo, 2020
8 Compartido 486 Visualizaciones

ESET ha anunciado que los investigadores de su laboratorio han descubierto una operación de ciberespionaje no conocida hasta el momento denominada Ramsay.

El framework o conjunto de herramientas usado por los atacantes ha sido confeccionado para recoger y extraer documentos sensibles desde sistemas aislados que no están conectados ni a Internet ni a ningún otro sistema online. El número de víctimas es aún escaso, por lo que ESET cree que se trata de una operación en proceso de desarrollo. 

Encontramos una instancia de Ramsay en una muestra de VirusTotal cargada desde Japón y eso nos llevó a descubrir otros componentes, otras versiones de este framework y otras pruebas que nos hacen concluir que se trata de una operación en desarrollo, con algunos vectores de entrega que están siendo afinados todavía”, afirma Alexis Dorais-Joncas, responsable del equipo de investigación de ESET en Montreal. 

De acuerdo con los descubrimientos de ESET, Ramsay ha pasado por diversas iteraciones basadas en instancias diferentes del framework, lo que demuestra una progresión lineal en el número de sus capacidades y en su complejidad. Parece ser que los desarrolladores a cargo de los vectores de infección están probando diferentes enfoques, como utilizar exploits antiguos para vulnerabilidades de Microsoft Word o desplegar aplicaciones troyanizadas para ser entregadas a través de ataques de phishing dirigido. Las tres versiones descubiertas difieren en complejidad y sofisticación, siendo la tercera la más avanzada, especialmente en lo relacionado con la evasión y la persistencia. 

La arquitectura de Ramsay proporciona una serie de capacidades gestionadas a través de un mecanismo de control

  • Recopilación de archivos y almacenamiento encubierto: el objetivo primordial de esta operación es recopilar todos los documentos Microsoft Word existentes dentro del sistema objetivo del ataque. 
  • Ejecución de comandos: el protocolo de control de Ramsay implementa un método de análisis descentralizado y la recuperación de comandos desde documentos de control. 
  • Difusión: Ramsay incorpora un componente que parece diseñado para operar dentro de redes aisladas. 

Es remarcable cómo el diseño de la arquitectura de Ramsay, especialmente la relación entre sus funciones de difusión y control, le permite operar en redes aisladas, es decir, en redes no conectadas a Internet”, apunta Dorais-Joncas. 

Mantente informado de las noticias más relevantes en nuestro canal de Telegram

Te podría interesar

La manipulación de voz: nuevo factor para detectar  las fake news
Actualidad
18 compartido1,211 visualizaciones
Actualidad
18 compartido1,211 visualizaciones

La manipulación de voz: nuevo factor para detectar las fake news

Vicente Ramírez - 4 septiembre, 2019

Nuance destaca el valor de la biometría para identificar imitaciones y voces manipuladas. El 86% de los ciudadanos españoles se…

Cómo proteger tu empresa de los ataques internos
Actualidad
16 compartido1,946 visualizaciones
Actualidad
16 compartido1,946 visualizaciones

Cómo proteger tu empresa de los ataques internos

Vicente Ramírez - 26 marzo, 2018

Uno de los mayores problemas para las grandes compañías ha sido siempre y es, los ataques procedentes del interior, unos…

INCIBE lanza su nueva guía ‘Seguridad en la instalación y uso de dispositivos IoT’
Actualidad
5 compartido792 visualizaciones
Actualidad
5 compartido792 visualizaciones

INCIBE lanza su nueva guía ‘Seguridad en la instalación y uso de dispositivos IoT’

Alicia Burrueco - 28 mayo, 2020

Recoge las principales medidas de seguridad que una empresa debe incorporar al uso de estos dispositivos para reducir riesgos  El…

Deje un comentario

Su email no será publicado

Este sitio usa Akismet para reducir el spam. Aprende cómo se procesan los datos de tus comentarios.