ESET entdeckt hochentwickeltes Spionageprogramm

"Air Gap" ist die Bezeichnung für ein Sicherheitskonzept für Computer und Netzwerke, die nicht direkt mit dem Internet oder anderen Netzen verbunden sind. Die derzeit geringe Verbreitung lässt ESET-Forscher vermuten, dass das Spionageprogramm für gezielte Angriffe genutzt wird oder sich noch in der Entwicklung befindet. [...]

ESET Forscher haben ein bisher unbekanntes Spionageprogramm namens Ramsay analysiert, welches auf das Sammeln und Herausfiltern sensibler Dateien aus sogenannten "Air Gap" Systemen spezialisiert ist. "Air Gap" ist die Bezeichnung für ein Sicherheitskonzept für Computer und Netzwerke, die nicht direkt mit dem Internet oder anderen Netzen verbunden sind. (c) ESET

Für diese These spricht, dass die Malware-Autoren scheinbar verschiedene Infektionswege ausprobieren. Zum Beispiel kam ein alter Exploit zum Einsatz, der Microsoft Word-Schwachstellen aus dem Jahr 2017 ausnutzt. Insgesamt haben die ESET-Forscher bisher drei verschiedene Versionen von Ramsay entdeckt, die sich in ihrer Komplexität unterscheiden. Ihre Analyse haben die ESET-Experten auf Welivesecurity.de veröffentlicht.

„Ramsay ist ein hochentwickeltes Spionageprogramm in speziellen Air-Gap-Systemen, die nicht direkt mit dem Internet verbunden sind“, erklärt Thomas Uhlemann, ESET Security Specialist. „Gerade der Infektionsvektor über alte Windows-Sicherheitslücken zeigt aber auch, dass selbst in solchen Umgebungen offenbar die einfachsten Methoden zum Schutz nicht befolgt werden. Andernfalls würde sich die Entwicklung für Cyberkriminelle nicht lohnen.“

Funktionen von Ramsay

„Besonders bemerkenswert ist das architektonische Design des Spionageprogramms. Die Verbreitungs- und Kontrollfähigkeiten ermöglichen die effektive Infiltration in Netzwerken, die nicht mit dem Internet verbunden sind“, weiß Uhlemann zu berichten. Ramsay bietet eine Reihe von Funktionen, die speziell auf das Einsatzgebiet zugeschnitten sind:

– Dateisammlung und verdeckte Speicherung: Das primäre Ziel von Ramsay ist es, alle vorhandenen Dokumente innerhalb des Dateisystems zu sammeln.

– Ausführen von Befehlen: Das Kontrollprotokoll von Ramsay besitzt eine Methode zum Scannen und Abrufen von Befehlen.

– Verbreitung: Ramsay hat eine Komponente, die für den Betrieb in Systemen konzipiert ist, die nicht direkt mit dem Internet verbunden sind.

Die gesamte Analyse ist auf Welivesecurity verfügbar: https://www.welivesecurity.com/deutsch/2020/05/13/ramsay-ein-cyberspionage-toolkit-speziell-fuer-air-gap-netzwerke/


Mehr Artikel

News

Große Sprachmodelle und Data Security: Sicherheitsfragen rund um LLMs

Bei der Entwicklung von Strategien zur Verbesserung der Datensicherheit in KI-Workloads ist es entscheidend, die Perspektive zu ändern und KI als eine Person zu betrachten, die anfällig für Social-Engineering-Angriffe ist. Diese Analogie kann Unternehmen helfen, die Schwachstellen und Bedrohungen, denen KI-Systeme ausgesetzt sind, besser zu verstehen und robustere Sicherheitsmaßnahmen zu entwickeln. […]

Be the first to comment

Leave a Reply

Your email address will not be published.


*