Eine neue Malware macht die Runde. Gerade erst wurde Mimikatz als Gefahr für Industrieunternehmen eingestuft – nun folgt die nächste. Sie heisst Ramsay. Anders als Mimikatz greift die Ramsay Malware jedoch auf grundlegend andere Mechanismen zurück und zählt zu den selteneren Malware-Toolkits.
Wie fungiert die Ramsay Malware?
Ramsay attackiert Netzwerke, die nur über ein Air Gap – auch Airwall genannt – miteinander verbunden sind. Das heisst: physisch und logisch getrennte Netze, die dennoch Datentransfer zulassen.
Entdeckt hat das das Cybersicherheitsunternehmen ESET Research. Laut ESET ist der Befall derzeit noch gering – eine breite Alarmstimmung sei verfrüht. Das dürfte daran liegen, dass Ramsay seine Aktivitäten erst aufbaut. Bekannt sind bislang drei Versionen (1, 2a und 2b), wobei die jüngste durch Beharrlichkeit und gezieltes Ausweichverhalten die höchste Raffinesse zeigt.
Ramsay sammelt sensible Dateien – Word-Dokumente und ähnliche Daten – ein und legt sie an einem separaten Ort ab. Diesen versiegelt die Malware anschliessend, um ihn später vollständig zu entwenden.
Malware-Infekt ohne Internetverbindung? Wie geht das?
Air-Gap-Netzwerke sind weder mit dem Internet noch mit dem Unternehmens-Intranet verbunden. Bei einem Malware-Befall tippt man dort als erstes auf eine externe Verbindung – die gibt es hier aber nicht. Wie gelangt die Malware also ins System?
Laut ESET läuft der Einfallsweg über alte Exploits in Microsoft-Word-Schwachstellen aus dem Jahr 2017 sowie über Trojaner-basierte Anwendungen, die per Spear-Phishing verteilt wurden. Kein schneller Installationsweg also, sondern ein mehrstufiger Prozess.
Was dabei auffällt: Ramsay ist in seiner Architektur explizit auf Air-Gap-Netzwerke ausgelegt. Das macht sie besonders gefährlich – denn wer sein Netz physisch isoliert hat, vertraut oft darauf, damit ausreichend geschützt zu sein.
Der genaue Übertragungsweg läuft offenbar über Verschiebungen einzelner Netzwerk-Ebenen innerhalb eines Unternehmens – auch über mobile Speichergeräte ist das möglich. Am Ende landet die Malware im Remote-Bereich und verharrt dort.
Was hinter Ramsay steckt – und was Unternehmen jetzt tun sollten
Ramsay widerlegt die Annahme, dass eine fehlende Internetverbindung vor Malware schützt. Das sollte Unternehmen aufhorchen lassen: Es lohnt sich zu prüfen, ob ein solcher Befall bereits stattgefunden hat. Ausserdem sollten alle potenziellen Schwachstellen systematisch untersucht und behoben werden.
Wer hinter Ramsay steckt, bleibt offen. Erste Analysen von ESET fanden innerhalb der Metadaten unter anderem koreanischsprachige Zeichenketten. Zudem ähnelt die Malware dem sogenannten Retro-Stamm, der der DarkHotel-Gruppe zugeschrieben wird – einer Gruppe, die mit Wissen der südkoreanischen Regierung operiert haben soll. Ein direkter Zusammenhang bleibt Theorie.