Eksperci ESET przeanalizowali Ramsay – nowy zestaw narzędzi, wykorzystywany przez cyberprzestępców do wykradania danych z komputerów, które nie zostały podłączone do Internetu. Zdaniem badaczy jest to nowa broń w asortymencie grupy DarkHotel, która w przeszłości atakowała m.in. cele rządowe w Chinach i Japonii. Ramsay to nowy zestaw narzędzi, który pozwala na kradzież danych z odizolowanych od Internetu sieci i komputerów.
Wirus rozprzestrzenia się głównie za pomocą nośników wymiennych, takich jak np. pendrive’y. Po instalacji na danej maszynie wyszukuje on znajdujące się na niej dokumenty programu Microsoft Word, a następnie przygotowuje je do wysyłki. W tym celu pliki są archiwizowane i szyfrowane, a następnie dopisywane do innych plików na komputerze ofiary. W tej formie czekają, aż nadarzy się okazja do ich eksfiltracji, która następuje zazwyczaj za pośrednictwem nośników wymiennych.
Technika ta w połączeniu ze zdecentralizowanym mechanizmem kontroli pozwala na skuteczne gromadzenie i wykradanie plików znajdujących się na maszynach odizolowanych od Internetu, które bardzo często wykorzystywane są do przetwarzania najbardziej wrażliwych danych.
Badacze ESET zidentyfikowali jak do tej pory trzy różne wersje narzędzia, z których każda kolejna wykorzystywała bardziej zaawansowane techniki dystrybucji, maskowania swojej aktywności i samego gromadzenia danych. Pozwala to przypuszczać, że program jest dopiero rozwijany przez przestępców i w przyszłości może być używany na znacznie szerszą skalę.
Jak zwracają uwagę eksperci ESET, Ramsay wykazuje wiele cech wspólnych z backdoorem Retro, będącym na wyposażeniu grupy APT DarkHotel. Pozwala to przypuszczać, że to właśnie ona stoi za zidentyfikowanym ostatnio narzędziem.