# Ramsay > Tipo: **malware** · S0458 · [MITRE ATT&CK](https://attack.mitre.org/software/S0458) ## Descrição [[s0458-ramsay|Ramsay]] é um framework de malware para roubo de informações projetado específicamente para coletar e exfiltrar documentos sensíveis, incluindo de sistemas air-gapped - ambientes isolados fisicamente de redes externas. Pesquisadores da ESET identificaram sobreposições entre o Ramsay e o malware Retro, associado ao [[g0012-darkhotel|Darkhotel]], sugerindo uma possível conexão com atores de ameaça de nexo asiático. A capacidade de atingir sistemas air-gapped é a característica mais distintiva do Ramsay. Para isso, o malware infecta dispositivos removíveis como pendrives USB ([[t1120-peripheral-device-discovery|T1120]]) e contamina arquivos compartilhados em rede ([[t1080-taint-shared-content|T1080]]) para se propagar entre redes isoladas. O Ramsay coleta documentos Word, PDF e outros formatos sensíveis ([[t1005-data-from-local-system|T1005]]), agenda tarefas ([[t1053-005-scheduled-task|T1053.005]]) para persistência, e usa um rootkit ([[t1014-rootkit|T1014]]) para ocultar sua presença no sistema. Os dados coletados são armazenados em um diretório de staging ([[t1074-001-local-data-staging|T1074.001]]) até que o agente tenha acesso a um sistema conectado à Internet para realizar a exfiltração. Esta abordagem assimétrica - coletar em ambientes isolados e exfiltrar oportunisticamente - é característica de grupos de espionagem sofisticados com alvos em instalações governamentais, militares ou de pesquisa de alta segurança. **Plataformas:** Windows ## Técnicas Utilizadas - [[t1135-network-share-discovery|T1135 - Network Share Discovery]] - [[t1559-002-dynamic-data-exchange|T1559.002 - Dynamic Data Exchange]] - [[t1113-screen-capture|T1113 - Screen Capture]] - [[t1016-system-network-configuration-discovery|T1016 - System Network Configuration Discovery]] - [[t1106-native-api|T1106 - Native API]] - [[t1014-rootkit|T1014 - Rootkit]] - [[t1046-network-service-discovery|T1046 - Network Service Discovery]] - [[t1071-001-web-protocols|T1071.001 - Web Protocols]] - [[t1080-taint-shared-content|T1080 - Taint Shared Content]] - [[t1566-001-spearphishing-attachment|T1566.001 - Spearphishing Attachment]] - [[t1005-data-from-local-system|T1005 - Data from Local System]] - [[t1053-005-scheduled-task|T1053.005 - Scheduled Task]] - [[t1074-001-local-data-staging|T1074.001 - Local Data Staging]] - [[t1120-peripheral-device-discovery|T1120 - Peripheral Device Discovery]] - [[t1574-001-dll|T1574.001 - DLL]] ## Detecção Detectar o Ramsay em sistemas air-gapped requer inspeção de dispositivos USB que acessam essas redes - verificação de integridade de arquivos em pendrives é recomendada. Em redes conectadas, monitorar criação de arquivos comprimidos em diretórios de staging ([[t1074-001-local-data-staging|T1074.001]]) e enumeração de compartilhamentos de rede ([[t1135-network-share-discovery|T1135]]) por processos desconhecidos são indicadores relevantes. A presença de um rootkit ([[t1014-rootkit|T1014]]) pode mascarar o malware de análises convencionais - ferramentas de detecção de rootkits em modo kernel são necessárias. ## Relevância LATAM/Brasil O Ramsay é especialmente relevante para organizações brasileiras que operam ambientes air-gapped por razões de segurança, como instalações militares, nucleares, do setor de petróleo e gás, e agências de inteligência governamentais. A Agência Brasileira de Inteligência (ABIN) e o Centro de Defesa Cibernética (CDCiber) do Exército Brasileiro consideram malware com capacidade air-gap como ameaça prioritária ao patrimônio informacional nacional sensível. ## Referências - [MITRE ATT&CK - S0458](https://attack.mitre.org/software/S0458)