New Ramsay malware can steal sensitive documents from air-gapped networks

มัลแวร์ชนิดใหม่ “Ramsay” สามารถขโมยข้อมูลจากเครือข่าย Air-Gapped ได้

นักวิจัยด้านความปลอดภัยทางไซเบอร์จากบริษัท ESET ได้ประกาศว่าพวกเขาค้นพบมัลแวร์ที่ชื่อ “Ramsay” ซึ่งมีคุณสมบัติในการแพร่กระจายตัวในพื้นที่ Air-gapped โดยมัลแวร์มีจุดประสงค์ในการเก็บรวบรวมและทำการขโมยข้อมูลบนไฟล์เอกสาร Word และเอกสารสำคัญอื่น ๆ

Air-gapped คือมาตรการทางด้านความมั่นคงและปลอดภัยที่จะแยกโซนคอมพิวเตอร์ที่มีข้อมูลลับออกไป โดยคอมพิวเตอร์อาจไม่เชื่อมต่อกับอินเทอร์เน็ตหรือ LAN และมักถูกใช้ในธุรกิจหรือองค์กรสำคัญเช่น รัฐบาล, หน่วยงานการทหารหรือองค์กรทางการเงิน ดังนั้นการเข้าถึงเครื่องใน Air gap อาจต้องผ่าน USB หรือจุดเชื่อมต่อที่กำหนดไว้

ESET กล่าวว่ามัลแวร์ Ramsay ในขณะนี้มีอยู่สามเวอร์ชันคือ Ramsay v1, v2.a และ v2.b ซึ่งแต่ละเวอร์ชันมีความแตกต่างกันแต่หน้าที่หลักของ Ramsay คือการสแกนคอมพิวเตอร์และรวบรวมเอกสาร Word, PDF และ ZIP ในโฟลเดอร์ที่เก็บข้อมูล โดยผู้เชี่ยวชาญได้ตั้งข้อสังเกตว่า Ramsay อาจใช้ประโยชน์จาก CVE-2017-0199 และ CVE-2017-11882 ซึ่งเป็นช่องโหว่ที่เรียกใช้โค้ดโดยไม่ได้รับอนุญาต

ทั้งนี้นักวิจัยยังไม่ได้ระบุแหล่งที่มาอย่างเป็นทางการของ Ramsay แต่นักวิจัยเชื่อว่ามัลแวร์ Ramsay นี้มีความคล้ายคลึงกับ Retro ซึ่งเป็นสายพันธุ์มัลแวร์ที่พัฒนาโดย DarkHotel กลุ่มแฮกเกอร์ที่เชื่อมโยงกับรัฐบาลเกาหลีใต้

ที่มา: zdnet