Titre: Ramsay, nouvel environnement de cyberespionnage, découvert par ESET Research (14/05/2020 Par cda)
Bratislava, Montreal, mai 2020
Des chercheurs d’ESET ont découvert un environnement de cyber-espionnage encore non documenté qu'ils ont surnommé Ramsay. Cet environnement semble avoir été spécialement développé pour collecter et filtrer les documents sensibles provenant de systèmes air-gapped, des systèmes qui ne sont pas connectés à internet ou à d'autres systèmes en ligne. Comme le nombre de victimes est très faible, ESET pense que cet environnement est encore en plein développement.

«Nous avons d'abord trouvé un exemplaire de Ramsay dans un échantillon de VirusTotal telechargé du Japon, lequel après sa découverte nous a fait penser qu'il est encore en phase de développement, avec des vecteurs de diffusion soumis à des tests fins», explique Alexis Dorais-Joncas, responsable de l’équipe de recherche d’ESET à Montréal.

Selon les conclusions d'ESET, Ramsay a effectué plusieurs itérations et cela en fonction des différents cas trouvé dans cet environnement. Ceux-ci indiquent une progression linéaire à la fois par le nombre et la complexité de leurs possibilités. Les développeurs responsables des vecteurs d'infection, semblent essayer différentes approches comme l'utilisation d'anciens exploits pour les vulnérabilités de Microsoft Word à partir de 2017 et le déploiement d'applications type cheval de Troie, pour distribution éventuelle via spear-phishing.

Les trois versions de Ramsay qui viennent d’être découvertes sont différentes tant par leur complexité que par leur sophistication. La troisième version est la plus avancée et plus particulièrement en matière d’évasion et de persistance.

L'architecture de Ramsay présente une série de capacités gérées par un mécanisme de logging:

• Collecte de fichiers et stockage secret: le premier objectif de cet environnement est de collecter tous les documents Microsoft Word existants dans les systèmes de fichiers d'une cible.
• Exécution de la mission: le protocole de contrôle de Ramsay utilise une méthode décentralisée pour scanner et récupérer les missions à partir de documents de contrôle.
• Déploiement: Ramsay possède une composante intégrée qui semble avoir été conçue pour fonctionner au sein de réseaux air-gapped (non connectés).

«Il est remarquable de voir comment la conception architecturale de Ramsay, et plus particulièrement la relation entre les capacités de diffusion et de contrôle, permet de fonctionner dans des réseaux air-gapped, réseaux qui ne sont donc pas connectés à internet », ajoute Dorais-Joncas.

Pour plus de détails techniques sur Ramsay, lisez le blog post “Ramsay: A cyber espionage toolkit tailored for Air-Gapped Networks” sur https://www.welivesecurity.com/
Pour les dernières nouvelles concernant la recherche, suivez ESET Research sur Twitter ESET Research on Twitter . Visitez aussi https://www.eset.com/be-fr/

A propos d’ESET
Depuis 30 ans, ESET® développe des logiciels et des services de sécurité IT de pointe destinés aux entreprises et aux consommateurs, partout dans le monde. Avec des solutions allant de la sécurité des terminaux et des mobiles jusqu’à des solutions de chiffrement et d’authentification à deux facteurs, les produits conviviaux et hautement performants d’ESET confère aux consommateurs et aux entreprises la tranquillité d’esprit nécessaire pour pleinement tirer parti des potentiels de leurs technologies. ESET assure une protection et une surveillance discrète 24 h sur 24, mettant les solutions de protection à jour en temps réel afin de garantir la sécurité des utilisateurs et les activités des entreprises, sans la moindre interruption. Les menaces en constante évolution requièrent une société spécialisée en sécurité IT qui soit elle-même évolutive. S’appuyant sur ses divers centres R&D de par le monde, ESET est la première société de sécurité IT à avoir décroché 100 récompenses Virus Bulletin VB100 et ayant identifié, sans exception, tous les maliciels en circulation et ce, sans interruption depuis 2003. Pour toute information complémentaire, consultez le site www.eset.com ou suivez-nous sur LinkedIn, Facebook et Twitter.
Retour