Ramsay : ce nouveau malware conçu pour voler les documents sur les réseaux isolés

Publié le 15 mai 2020 à 10h28

Des chercheurs en cybersécurité ont mis au jour un logiciel malveillant d'un nouveau genre. Baptisé Ramsay, il serait en effet capable d'infecter les machines isolées du réseau, d'y collecter des informations et de rester caché jusqu'à ce qu'il puisse envoyer les données volées aux hackers.

Outre un logiciel antivirus, une bonne façon de protéger un ordinateur des attaques informatiques consiste à recourir à la technique dite de « l'air gap ». Il s'agit tout simplement d'isoler la machine du réseau, de sorte à rendre impossible tout piratage à distance. Mais cette méthode ne serait en réalité pas infaillible.

Une menace discrète mais sérieuse

En effet, un nouveau malware, du nom de « Ramsay », aurait précisément été créé pour s'attaquer aux ordinateurs en air gap. Ce sont des chercheurs de l'entreprise slovaque ESET, spécialiste des solutions de cybersécurité, qui ont découvert la nouvelle menace. Il s'agirait d'un système sophistiqué, capable de provoquer des dégâts considérables.

Le principe de Ramsay est le suivant : une fois installé sur une machine isolée du réseau, le logiciel passe en revue l'ensemble des données stockées et rassemble des documents (Word, PDF et Zip) au sein d'un répertoire caché. Puis, le malware reste tapi dans l'ombre, en attendant de détecter une occasion ultérieure de transférer les informations recueillies.

Un malware venu de Corée du Sud ?

Reste, bien sûr, un casse-tête à résoudre : comment pénétrer un ordinateur en air gap ? D'après les auteurs de la découverte, les méthodes utilisées peuvent varier, et il existe d'ailleurs plusieurs versions de Ramsay. Mais l'une d'elles comprendrait un module de diffusion, capable notamment d'ajouter des copies du malware à des exécutables présents sur des dispositifs de stockage portables. En branchant ces derniers sur une machine en air gap, la victime contribuerait alors, malgré elle, à la contamination du système isolé.

Par ailleurs, d'autres interrogations subsistent : comment le malware procède-t-il pour récolter les données de l'ordinateur contaminé ? Comment fonctionne le module permettant le transfert des informations ? Pour l'heure, les chercheurs ne sont pas parvenus à répondre à ces questions.

Enfin, qui se cache derrière Ramsay ? Les auteurs de l'étude auraient observé plusieurs similitudes avec un autre logiciel malveillant : Retro. Celui-ci aurait été développé par un groupe de hackers connu sous le nom de DarkHotel et qui pourrait être lié au gouvernement sud-coréen.

Source : ZDNet

Vous êtes un utilisateur de Google Actualités ou de WhatsApp ?
Suivez-nous pour ne rien rater de l'actu tech !

Commentaires (0)

Rejoignez la communauté Clubic

Rejoignez la communauté des passionnés de nouvelles technologies. Venez partager votre passion et débattre de l’actualité avec nos membres qui s’entraident et partagent leur expertise quotidiennement.

Commentaires (3)

fonsdel

J’avoue que je ne comprends rien à la news.

le fait qu’un virus se propage sur les ordinateurs hors réseau est présenté comme une nouveauté, voir même une innovation majeure.

Bien avant que tout les PC soient connectés à internet, y avait déjà des virus, et ils infectaient déjà les documents comme les binaires.

maxxous59

Oui exact, sauf que la il cherche les clés usb, sd, DD et ssd externe pour copier son code en espérant que cela touche un autre ordi isolé… Après peut être que d’autres le faisaient aussi…

cirdan

Un ordi infecté par une clé usb c’est pas vraiment une nouveauté. Celui-là a une particularité propre par son mode de fonctionnement, mais dans le fond la méthode n’est pas une première.