Noticia

Eset descubre un nuevo framework de ciberespionaje denominado Ramsay

espionaje, ciberseguridad, mundo, matrix
Redacción

El equipo de investigación de Eset ha anunciado el descubrimiento de un framework de ciberespionaje desconocido hasta el momento, al que han denominado Ramsay. Básicamente, lo que hace es recoger y extraer documentos sensibles de sistemas aislados que no están conectados a Internet ni a ninguna otra plataforma online.

“Encontramos una instancia de Ramsay en una muestra de VirusTotal cargada desde Japón. Eso nos llevó a descubrir otros componentes, otras versiones de este framework y otras pruebas. Todo ello nos hace concluir que se trata de una operación en desarrollo, con algunos vectores de entrega que están siendo afinados todavía”, afirma Alexis Dorais-Joncas, responsable del equipo de investigación de Eset en Montreal.

En total, los investigadores han descubierto tres versiones, las cuales difieren en complejidad y sofisticación. De ellas, la tercera es la más avanzada, especialmente en lo relacionado con la evasión y la persistencia.

Resumen de las versiones descubiertas de Ramsay.
Resumen de las versiones descubiertas de Ramsay.

Cómo funciona el framework de ciberespionaje Ramsay

La compañía ha revelado que el número de víctimas es aún escaso, por lo que se cree que se trata de una operación en proceso de desarrollo. Aun así, advierte de la importancia de conocer las capacidades de gestión y el mecanismo de control que emplea este framework de ciberespionaje Ramsay:

  • Recopilación de archivos y almacenamiento encubierto: El objetivo primordial de esta operación es recopilar todos los documentos Microsoft Word existentes dentro del sistema objetivo del ataque. Los desarrolladores a cargo de los vectores de infección están probando diferentes enfoques, desde exploits antiguos hasta aplicaciones troyanizadas.
  • Ejecución de comandos: El protocolo de control de Ramsay implementa un método de análisis descentralizado y la recuperación de comandos desde documentos de control.
  • Difusión: Ramsay incorpora un componente que parece diseñado para operar dentro de redes aisladas.

En palabras de Dorais-Joncas, “especialmente notable es cómo el diseño arquitectónico de Ramsay, especialmente la relación entre sus capacidades de difusión y control. Este le permite operar en redes con espacios aisladas, lo que significa redes que no están conectadas a Internet».

Para obtener más detalles técnicos sobre Ramsay, se puede consultar la publicación de Ignacio Sanmillan, investigador de Eset, denominada Ramsay: A cyber‑espionage toolkit tailored for air‑gapped networks.

Archivado en: