Cyberthreat.id - Baru-baru ini, beberapa sampel toolkit malware Ramsay terbaru ditemukan sekelompok peneliti. Malware ini mengumpulkan file penting dari komputer yang terputus dari internet (air-gapped) dan telah menargetkan banyak organisasi hingga saat ini. 

Peneliti perusahaan cybersecurity ESET mendeteksi satu sampel Ramsay pada platform pemindaian VirusTotal, yang diunggah dari Jepang.

Setidaknya ada tiga varian malware, yaitu, v1, v2.a, dan v2.b. Sementara Ramsay v1 adalah yang paling kompleks, v2.a dan v2.b lebih rumit dan dilengkapi dengan komponen rootkit.

Ramsay 2.a memperluas kemampuan menyebar dan dapat menginfeksi semua portabel yang dapat dieksekusi pada drive yang ditargetkan.

Menurut penelitian, versi malware yang tidak terlalu rumit di-drop oleh dokumen jahat yang mengeksploitasi CVE-2017-0199 dan CVE-2017-11882.

Tujuan Ramsay adalah mencuri file dari host yang diretas. Ketiga varian mengumpulkan setiap dokumen Microsoft Word pada sistem file komputer target dan mencari arsip ZIP ‌ dan file PDF pada jaringan dan drive yang dapat dilepas.

File yang dikumpulkan dienkripsi dengan cipher RC4 dan dikompres dengan WinRAR. Kemudian, artefak wadah dihasilkan untuk menyembunyikan file pada sistem dan menyederhanakan ekstraksi.

Ramsay menargetkan sistem yang memiliki air-gapped yang terisolasi dari internet untuk menghentikan hacker agar tidak berkomunikasi langsung dengan sistem korban.

Air gapping adalah tindakan keamanan jaringan yang dilakukan pada satu atau lebih komputer untuk memastikan bahwa jaringan komputer yang aman secara fisik terisolasi dari jaringan yang tidak aman, seperti Internet publik atau jaringan area lokal tanpa jaminan.

Komponen lain dari Ramsay adalah menarik data dan mengirimkan perintah ke implan lokal. Hacker dapat meretas sistem yang terhubung ke internet yang digunakan oleh karyawan untuk mentransfer file ke host di jaringan ber-AC.

Apakah ada koneksi dengan hacker DarkHotel?

ESET menemukan beberapa relevansi antara Ramsay dan backdoor Retro yang digunakan oleh kelompok hacker DarkHotel. Sesuai penelitian, backdoor Ramsay dan Retro memanfaatkan API yang sama untuk menghasilkan pengidentifikasi unik global (GUID) untuk sistem yang terkena dampak serta algoritma serupa untuk menyandikannya.

Selain itu, keduanya menyimpan beberapa file log menggunakan konvensi penamaan yang sama dan menggunakan alat open-source yang sama untuk eskalasi hak istimewa dan untuk menginstal beberapa komponen mereka.

Namun, semua bukti ini tidak dapat dianggap andal untuk koneksi dengan DarkHotel.