Ramsay malware è un toolkit malevolo progettato appositamente per infiltrarsi nelle reti air-gap, finora considerate pressoché impenetrabili.
Questo framework dannoso è capace di esfiltrare file (come documenti Word, PDF e Zip) e di inviarli agli aggressori, senza servirsi dei tradizionali sistemi di comando e controllo.
Ma come funziona esattamente?
In questo articolo, esploreremo in modo dettagliato Ramsay malware, analizzandone caratteristiche tecniche e modus operandi, oltre a fornire le misure di sicurezza necessarie per proteggere le reti aziendali da questa pericolosa minaccia.
- Come Ramsay malware minaccia la sicurezza informatica delle organizzazioni
- Funzionamento e particolarità di Ramsay malware
- Misure di prevenzione
- Considerazioni conclusive
Come Ramsay malware minaccia la sicurezza informatica delle organizzazioni
Ramsay malware è stato scoperto per la prima volta dai ricercatori di ESET nel settembre del 2019.
La sua particolarità è legata alla capacità di aggirare le misure di sicurezza dei sistemi air-gapped, ovvero reti fisicamente isolate dal resto del network (incluso il web), al fine di renderle pressoché impenetrabili alle minacce.
Pare che le prime istanze del malware risalgano al 2019, e sembrano affiorare anche collegamenti con DarkHotel, cybergang attiva dal 2004 e famosa per aver preso di mira importanti realtà governative tra Cina e Giappone.
Questo malware rende l’infiltrazione della rete un obiettivo di grande interesse per gli aggressori e rappresenta una vera e propria sfida per la sicurezza informatica.
Ramsay è stato osservato in tre diverse versioni:
- la prima, veniva distribuita sottoforma di documenti RTF
- le versioni più recenti, “v2.a” e “v2.b”, invece, si presentano come programmi di installazione mascherati da applicazioni popolari, tra cui 7zip. Queste versioni consentono una diffusione più aggressiva del malware, infettando anche i file eseguibili che risiedono su unità rimovibili, come le USB.
È stato osservato che Ramsay sfrutta la vulnerabilità CVE-2017-0199 di tipo Remote Code Execution che modifica il modo in cui vengono analizzati e aperti i documenti Word e WordPad.
Il malware Ramsay è in grado di insediarsi sul sistema operativo di un computer infettato mediante:
- copia del proprio eseguibile all’interno delle cartelle di sistema di Windows
- modifica del registro del computer per eseguire automaticamente questo file a ogni avvio delle macchine
Funzionamento e particolarità di Ramsay malware
Come abbiamo puntualizzato già in apertura, Ramsay malware è un software malizioso implementato appositamente per intaccate le reti informatiche air-gapped.
Per tale ragione, poiché è il bersaglio stesso a essere totalmente isolato da internet o da qualsiasi tipo di collegamento alle reti LAN, anche il malware è stato progettato per fare a meno delle comunicazioni con server di comando e controllo (C2).
Tuttavia, sebbene questo aspetto sia ormai dato per assodato, i ricercatori non sono ancora riusciti a risalire alla tecnica effettivamente impiegata per esfiltrare i dati.
Ciò che è certo è che, nelle ultime versioni del malware, sono state integrate funzionalità di:
- rootkit, per eludere le misure di sicurezza
- hijacking, nota nello specifico come Phantom DLL hijacking, che sfrutta falle di librerie dinamiche di WIndows ormai obsolete per garantirsi persistenza nei sistemi
In sostanza, Ramsay sarebbe in grado di:
- esfiltrare documenti Word, PDF o file compressi in formato .Zip
- eseguire una escalation dei privilegi
- scansionare il sistema alla ricerca di unità rimovibili che possono essere utilizzate come ulteriore vettore di infezione
Misure di prevenzione
Abbiamo quindi compreso specificità tecniche e modalità di funzionamento di Ramsay malware, minaccia tanto insidiosa quanto sofisticata nelle modalità e nei bersagli d’attacco.
A questo punto sarà necessario comprendere in che modo potersene difendere.
Certamente le reti air-gap richiedono competenze di implementazione e infrastrutture assai avanzate. Tuttavia, qualora se ne facesse uso in azienda, sarà bene tener presente poche semplici regole per tutelarne l’integrità.
La raccomandazione principale è quella di non collegare alcuna unità di archiviazione USB ai dispositivi del network air-gap.
In secondo luogo, sarà bene assicurarsi di non eseguire file .zip, .doc o RTF su tali dispositivi, a meno che non siano considerati perfettamente attendibili.
Considerazioni conclusive
Il malware Ramsay è diventato noto per la sua capacità di infiltrarsi in reti apparentemente inaccessibili.
Questi sistemi sono spesso utilizzati da organizzazioni o enti che richiedono un alto livello di sicurezza. Tuttavia, il numero di vittime potrebbe non essere limitato, poiché alcune funzionalità del malware sono ancora in fase di sviluppo e perfezionamento.
Risulta pertanto essenziale assicurarsi di non esporre le reti isolata a potenziali vettori di infezione, come unità di archiviazione mobile o documenti di cui non si conosca la reale provenienza o attendibilità.
- Autore articolo
- Ultimi articoli
Sono un giovane italo-tunisino appassionato della camminata. Da piccolo cambiavo sempre il mio tragitto per andare a scuola e nel 2008 mi trasferivo in Italia per iniziare un nuovo cammino.
Questa passione mi ha consentito di raggiungere importanti traguardi formativi, quali il diploma come perito tecnico industriale con il massimo dei voti e la laurea triennale in ingegneria biomedica.
Attualmente, sono uno studente laureando alla magistrale di Biomedical Engineering. Di recente ho vinto l’assegnazione della Cybersecurity Scholarship 2021 – 2022 Cisco.
