La operación de ciberespionaje Ramsay sale a la luz

ESET ha destapado una operación de ciberespionaje que ha sido bautizada como Ramsay y que tiene al menos tres versiones diferentes.

En esencia, el framework usado por sus autores permite extraer documentos sensibles desde sistemas aislados no conectados (ni a internet ni a otro sistema online). Según las indagaciones de los investigadores de ESET, Ramsay ha pasado por diversas iteraciones. La tercera es la más avanzada en términos de evasión y persistencia.

Ramsay es capaz de recopilar archivos de Word. Otras de sus capacidades son el almacenamiento encubierto, la ejecución de comandos y la difusión. Su protocolo de control implementa un método de análisis descentralizado y la recuperación de comandos. También cuenta con su propio componente para operar en redes aisladas.

Sus creadores han estado probando diferentes enfoques, desde usar exploits antiguos para vulnerabilidades de Word hasta desplegar aplicaciones troyanizadas a través de ataques de phishing dirigido.

“Encontramos una instancia de Ramsay en una muestra de VirusTotal cargada desde Japón y eso nos llevó a descubrir otros componentes, otras versiones de este framework y otras pruebas que nos hacen concluir que se trata de una operación en desarrollo, con algunos vectores de entrega que están siendo afinados todavía”, comenta Alexis Dorais-Joncas, responsable del equipo de investigación de ESET en Montreal. De hecho, el número de víctimas de momento no es muy abultado.