БИЗНЕС-СЕТЬ KINETICS      |    ПОРТАЛЫ:   CRM CALL-ЦЕНТРЫ ERP ECM ITSM PM АБС SEC
Как перевести компанию на удаленную работу? >>>  
IT БЕЗОПАСНОСТЬ НОВОСТИ АНАЛИТИКА СИСТЕМЫ ПОСТАВЩИКИ ФОРУМ Напишите нам!  
     Информационная безопасность — практика предотвращения несанкционированного доступа, использования, раскрытия, искажения, изменения, исследования, записи или уничтожения информации.


ЛЕНТА НОВОСТЕЙ
СОБЫТИЯ И МЕРОПРИЯТИЯ
ВИДЕОНОВОСТИ
ИНТЕРВЬЮ
НОВОСТИ НА ФОРУМЕ
   
НОВОСТИ

01/06/2020

Хитрая шпионская программа крадет данные из ПК, неподключенных к Сети



Эксперты компании ESET обнаружили новый вредоносный набор, который способен, среди прочего, выводить данные из изолированных полностью отключенных от интернета систем. Вредонос под названием Ramsay является довольно продвинутой шпионской программой, которая проникает на изолированные системы через переносные накопители и загодя инфицированные файлы документов. Для этого эксплуатируются старые уязвимости в Microsoft Word.

Главный предмет интереса для Ramsay также составляют документы: он ищет, архивирует и ждет возможности скопировать на внешний носитель файлы Word, а также — в более новых версиях — PDF и ZIP-архивы.

Исследователи ESET утверждают, что вредонос находится в стадии активной разработки. К настоящему времени выявлены три варианта, самый ранний из которых датирован сентябрем 2019 г., а два других мартом 2020 г.
Работа с документами

Первичное заражение производится через вредоносные документы, эксплуатирующие уязвимости CVE-2017-0199 и CVE-2017-11882. Самая новая версия распространяется также через поддельный инсталлятор архиватора 7-Zip.

Схема заражения выглядит следующим образом. Компонент, обозначенный как Spreader («распространитель»), присутствующий только в версии 2.a, ведет себя крайне агрессивно, вплоть до того, что может заражать все исполняемые файлы на целевых приводах. По всей видимости, это делается с прицелом на максимальный охват.

Два других варианта ведут себя не так агрессивно, и, вероятно, предназначены для более узконаправленных операций. Все варианты Ramsay собирают документы Word по всему диску зараженной машины, а также сканируют PDF и ZIP-файлы на доступных сетевых дисках и съемных накопителях.

Все найденные файлы сбрасываются в «предварительную» папку, шифруются алгоритмом RC4 и архивируются с помощью WinRAR (инсталлятор для него Ramsay «приносит с собой»). Из этого архива генерируется контейнер, где к сжатым файлам добавляются идентификационные значения и накладывается еще один слой шифрования.

Этот архив затем добавляется к произвольному файлу Microsoft Word с расширением .doc из числа найденных на дисках. Сами файлы при этом сохраняют целостность данных — их основное содержание можно читать и редактировать без всяких проблем.

«В принципе, это единственный способ выводить данные из изолированных систем — использовать вредоносную программу, незаметно загружающую интересующие ее создателей данные на съемное устройство, которое затем будет подключено к машине с интернет-доступом, — считает Дмитрий Залманов, эксперт по информационной безопасности компании SEC Consult Services. — Разработчикам такого вредоноса остается только удостовериться, что деятельность программы будет максимально незаметной, а перемещение файлов не вызовет ни у кого подозрений.



 
О портале Конфиденциальность Реклама на портале Карта сайта  
Copyright © 2010-2020 Secutity Online. All rights reserved.