Ramsay : ce nouveau malware conçu pour voler les documents sur les réseaux isolés

14 mai 2020 à 15h59
4

Des chercheurs en cybersécurité ont mis au jour un logiciel malveillant d'un nouveau genre. Baptisé Ramsay, il serait en effet capable d'infecter les machines isolées du réseau, d'y collecter des informations et de rester caché jusqu'à ce qu'il puisse envoyer les données volées aux hackers.

Outre un logiciel antivirus , une bonne façon de protéger un ordinateur des attaques informatiques consiste à recourir à la technique dite de « l'air gap ». Il s'agit tout simplement d'isoler la machine du réseau, de sorte à rendre impossible tout piratage à distance. Mais cette méthode ne serait en réalité pas infaillible.

Une menace discrète mais sérieuse

En effet, un nouveau malware , du nom de « Ramsay », aurait précisément été créé pour s'attaquer aux ordinateurs en air gap. Ce sont des chercheurs de l'entreprise slovaque ESET, spécialiste des solutions de cybersécurité, qui ont découvert la nouvelle menace. Il s'agirait d'un système sophistiqué, capable de provoquer des dégâts considérables.

Le principe de Ramsay est le suivant : une fois installé sur une machine isolée du réseau, le logiciel passe en revue l'ensemble des données stockées et rassemble des documents (Word, PDF et Zip) au sein d'un répertoire caché. Puis, le malware reste tapi dans l'ombre, en attendant de détecter une occasion ultérieure de transférer les informations recueillies.

Un malware venu de Corée du Sud ?

Reste, bien sûr, un casse-tête à résoudre : comment pénétrer un ordinateur en air gap ? D'après les auteurs de la découverte, les méthodes utilisées peuvent varier, et il existe d'ailleurs plusieurs versions de Ramsay. Mais l'une d'elles comprendrait un module de diffusion, capable notamment d'ajouter des copies du malware à des exécutables présents sur des dispositifs de stockage portables. En branchant ces derniers sur une machine en air gap, la victime contribuerait alors, malgré elle, à la contamination du système isolé.

Par ailleurs, d'autres interrogations subsistent : comment le malware procède-t-il pour récolter les données de l'ordinateur contaminé ? Comment fonctionne le module permettant le transfert des informations ? Pour l'heure, les chercheurs ne sont pas parvenus à répondre à ces questions.

Enfin, qui se cache derrière Ramsay ? Les auteurs de l'étude auraient observé plusieurs similitudes avec un autre logiciel malveillant : Retro. Celui-ci aurait été développé par un groupe de hackers connu sous le nom de DarkHotel et qui pourrait être lié au gouvernement sud-coréen.

Source : ZDNet

Modifié le 15/05/2020 à 10h28
Soyez toujours courtois dans vos commentaires.
Respectez le réglement de la communauté.
4
5
Voir tous les messages sur le forum

Actualités du moment

Contact tracing : l'utilisation du fichier informatique
La start-up LeoLabs peut vous prévenir avant une collision en orbite
Le free-to-play The Elder Scrolls: Blades est disponible sur Switch
Kia proposera la recharge ultra-rapide (800V) sur ses futurs modèles de véhicules électriques
Un code promo fait chuter le prix du Google Pixel 4
Nintendo dévoile Paper Mario: The Origami King sur Switch
Spotify : une nouvelle offre spéciale à 3,33 euros par mois (pendant 3 mois)
Apple propose à la vente sur son site le routeur Eero... un produit Amazon
L'UE veut homogénéiser ses communications satellites, et c'est Airbus qui a remporté le contrat
NVIDIA : suivez la keynote GTC 2020 sur Clubic
Haut de page