Eine neue Malware macht die Runde. Gerade erst wurde Mimikatz als mögliche Gefahr für Industrieunternehmen deklariert, nun winkt bereits die nächste potenzielle Gefahrenquelle. Sie heisst Ramsay. Anders als Mimikatz weist die Ramsay Malware jedoch grundlegende andere Funktionalitäten auf und ist ein eher seltenes Malware-Toolkit.
Wie fungiert die Ramsay Malware?
Im Prinzip attackiert die Ramsay Malware Netzwerke, die lediglich in Form eines Air Gaps beziehungsweise Airwalls miteinander in Verbindung stehen. Das bedeutet, dass sie physisch und logisch voneinander getrennt sind, aber dennoch das Übertragen von Daten zulassen.
Diese Entdeckung machte das Cybersicherheitsunternehmen ESET Research. Laut deren Angaben ist der Befall jedoch noch gering, sodass eine allgemeine Aufregung noch nicht nötig sei. Das hängt wohl damit zusammen, dass Ramsay sich noch im Aufbau seiner Aktivitäten befindet. Allerdings wurden bereits drei Versionen (1, 2a und 2b) entdeckt, wobei die neuste Version auf Grund von Beharrlichkeit und Ausweichverhalten die höchste Raffinesse aufweist.
Ramsay Malware fasst, um es einfach zu beschreiben, sensible Dateien wie Word-Dokumente und andere empfindliche Dateien zusammen und versammelt sie an einem separaten Aufbewahrungsort. Diesen versiegelt die Malware zudem noch, um ihn dann später vollständig zu entwenden.
Malware-Infekt ohne Internetverbindung? Wie geht das?
Das Interessante an Air Gap Netzwerken ist, dass sie nicht mit dem Internet oder Intranet des jeweiligen Unternehmens verbunden sind. Bei einem Malware-Infekt ist das normalerweise die erste Vermutung. Das wirft also die Frage auf, wie das “IT-Wunder” ansonsten geschieht?
Der Infiltrationsweg wird laut Entdecker in alten Exploits von Microsoft Word-Schwachstellen aus dem Jahr 2017 und einer Bereitstellung Trojaner-basierter Anwendungen gesehen. Dieser fand wiederum über Spear-Phishing statt. Es gibt also keinen schnellen Installationsweg, sondern eine etwas komplexere Entwicklung.
Bemerkenswert bleibt, wie die eigene Architektur der Malware lediglich auf besagte Air-Gap Netzwerke ausgerichtet ist. Das macht sie zugleich sehr gefährlich. Denn Unternehmen und andere Nutzer gehen davon aus, sofern die Netzwerke nicht mit dem Internet oder Intranet verbunden sind, dass das eigene Netzwerk entsprechend geschützt ist.
Der genaue Übertragungsweg der Ramsay Malware scheint über Verschiebungen einzelner Netzwerk-Ebenen eines Unternehmens abzulaufen. Auch auf mobilen Speichergeräten ist das möglich. Die Malware landet am Ende auf dem Remote-Bereich und verharrt dort.
Unser Fazit zur Ramsay Malware
Die direkte Infiltration nur über das Internet bzw. Intranet ist mit dieser Malware demnach widerlegt. Dieser Umstand ruft Unternehmen und Mitarbeiter zu grosser Vorsicht auf. Auf Unternehmensseite ist zu prüfen, ob ein derartiger Befall eventuell bereits stattgefunden hat. Zusätzlich sind alle potenziellen Schwachstellen zu überprüfen und entfernen.
Wie bei so vielen Cyberangriffen bleibt auch hier offen, wer als Drahtzieher im Hintergrund fungiert. Erste Analysen von ESET ergaben, dass innerhalb der Metadaten von Ramsay unter anderem die koreanische Sprache entdeckt wurde. Zudem ähnelt die Malware dem sogenannten Retro-Stamm, der mit Wissen der südkoreanischen Regierung von der DarkHotel-Gruppe entwickelt wurde. Ein direkter Zusammenhang bleibt jedoch reine Theorie.