Les systèmes informatiques isolées ciblés par le malware Ramsay
Selon les spécialistes de la société de cybersécurité américaine Eset, le programme malveillant Ramsay serait aujourd’hui très actif dans le monde.
Une étude menée par ces chercheurs ont prouvé que plusieurs instances de ce malware s’en prennent aux systèmes d’information qui sont déconnectés des réseaux classiques, en clair des systèmes informatiques isolés.
Cet article va aussi vous intéresser : Un programme malveillant inamovible sur un modèle de smartphone subventionné par l’État Américain
Apparemment, des composants de ce programme malveillant auraient permis d’implanter des scanners de réseau sur des machines afin de découvrir les sous-réseaux auxquels elles étaient connectées dans le but de les compromettre, en particulier ceux qui étaient vulnérables à la faille Eternalblue. « …certains composants de Ramsay ont implémenté un scanner de réseau destiné à la découverte de machines non connectés à Internet (Air Gap) mais connues dans le sous-réseau de l’hôte compromis qui sont sensibles à la vulnérabilité EternalBlue SMBv1. Ces informations seront contenues dans toutes les informations enregistrées que Ramsay recueille et peuvent être exploitées par les opérateurs afin d’effectuer ultérieurement des mouvements latéraux sur le réseau via un canal différent » expliquent les chercheurs de la firme de sécurité.
Ce rapport des chercheurs de ESET, met en évidence en quelque chose qui est beaucoup méconnue : le fait que même les système informatique d’entreprises déconnectés du réseau sont aussi ciblés par les cybercriminels, au même titre que ce qui fonctionnent habituellement sur les réseaux publics. L’outil utilisé dans le contexte présent est le programme Ramsay. Sa fonctionnalité particulière lui permet d’analyser, d’infiltrer le réseau isolé, identifier et collecter toutes les données contenues hébergées dans le système. ESET, dans un billet de blog a notifié qu’il existe plusieurs variantes de ce programme en circulation : « Nous avons initialement trouvé une instance de Ramsay dans VirusTotal. Cet échantillon a été téléchargé du Japon et nous a conduits à la découverte d’autres composants et versions du framework, ainsi que des preuves substantielles pour conclure que ce framework est à un stade de développement, avec ses vecteurs de livraison toujours en cours de réglage fin ».
En outre, les chercheurs de ESET n’ont pas réussi à encore identifier les véritables cibles de Ramsay et ses variantes. Cependant, quelques victimes auraient été identifiées par la firme de cybersécurité. Sur ce point, elle préfère ne révéler aucun nom. Pour rassurer, ESET a signifié avoir mis à jour les vecteurs d’attaques utilisés par Ramsay et ses variantes. Parmis lesquels, la faille de sécurité CVE-2017-0199 qui permettait aux pirates informatiques d’injecter un programme de type Visual Basic malveillant dans un dossier ce qui permettait de camoufler Ramsay dans une image en format JPG. La seconde faille, permet d’usurper les privilèges d’un installeur de type 7zip. Et la troisième faille serait la vulnérabilité CVE-2017-11882. Selon les explications des chercheurs d’Eset, les variantes de Ramsay auraient pu être calées a des périodes précises tels que :
– le 24 septembre 2019, sans rootkit
– 8 mars 2020, avec rootkit et spreader
– 27 mars 2020, avec rootkit et sans spreader
« L’analyse des différents horodatages de compilation trouvés sur différents composants implique que ce framework est en cours de développement depuis fin 2019, avec la possibilité d’avoir actuellement deux versions maintenues sur mesure en fonction de la configuration de différentes cibles », précise la firme de cybersécurité.
À propos des mécanismes d’attaques basés sur Ramsay et leur nature, ESET indique : « L’architecture de Ramsay fournit une série de capacités de surveillance via un mécanisme de journalisation destiné à aider les opérateurs en fournissant un flux d’informations exploitables pour mener des actions d’exfiltration, de contrôle et de mouvement latéral, ainsi qu’en fournissant des statistiques comportementales et système globales de chaque système compromis ».
La société de sécurité explique que le programme Ramsay, au vu de ses composantes, aurait subi plusieurs modifications au fil des années. En étudiant les différents vecteurs d’attaque, la spécialiste en met en évidence le fait que les cybercriminels sont dans une approche plurielle, permettant d’essayer plusieurs éventualités tout en restant prudent. « Sur la base des différentes instances du cadre trouvées, Ramsay a traversé différentes étapes de développement, dénotant une progression croissante du nombre et de la complexité de ses capacités. Les développeurs en charge des vecteurs d’attaque semblent essayer différentes approches telles que les anciens exploits pour les vulnérabilités Word à partir de 2017 ainsi que le déploiement de trojans, indique ESET.
Accédez maintenant à un nombre illimité de mot de passe :