ESET ha anunciado el descubrimiento de una operación de ciberespionaje no conocida hasta este momento, que se denomina Ramsay.
El framework o conjunto de herramientas que usan los atacantes para recoger y extraer documentos sensibles de sistemas aislados, provenientes de equipos que no están conectados Internet.
Según podemos observar tal y como nos cuenta ESET , no es una versión definitiva, sino que está siendo retocada, se trata de una operación en desarrollo la cual tiene algunos vectores de entrega que están siendo desarrollados todavía.
De acuerdo con ESET, Ramsay tiene diversas iteraciones basadas en instancias diferentes del famework, por lo que podemos deducir una progresión lineal en el número de capacidades y en complejidad.
Parece ser que los desarrolladores a cargo de los vectores de infección están probando diferentes enfoques, están usando exploits antiguos para vulnerabilidades de Microsoft Word o desplegar aplicaciones con troyanos.
Tenemos tres versiones diferentes descubiertas con diferentes complejidades y sofisticaciones, siendo la tercera la más avanzada, sobre todo en evasión y persistencia.
La arquitectura de Ramsay proporciona una serie de capacidades gestionadas con un mecanismo de control.
En primer lugar, recopila archivos y almacena encubierto: el objetivo principal es recopilar datos de Microsoft Word.
En segundo lugar, tenemos la ejecución de comandos que tiene un método de análisis descentralizado y la recuperación de comandos desde documentos de control.
En tercer lugar, Ramsay tiene un componente para operar desde redes aisladas.