Kluczowe dania na wynos
- Badacze cyberbezpieczeństwa znaleźli nowe złośliwe oprogramowanie, ale nie potrafią wyjaśnić jego celów.
- Zrozumienie gry końcowej pomaga, ale nie jest ważne, aby ograniczyć jej rozprzestrzenianie się, zasugeruj innym ekspertom.
- Ludzie nie powinni podłączać nieznanych dysków wymiennych do swoich komputerów, ponieważ złośliwe oprogramowanie rozprzestrzenia się za pośrednictwem zainfekowanych dysków USB.
Powstało nowe złośliwe oprogramowanie dla systemu Windows, ale nikt nie jest pewien jego intencji.
Analitycy cyberbezpieczeństwa z Red Canary odkryli niedawno nowe złośliwe oprogramowanie przypominające robaka, które nazwali Raspberry Robin, które rozprzestrzenia się za pośrednictwem zainfekowanych dysków USB. Chociaż byli w stanie obserwować i badać działanie złośliwego oprogramowania, nie byli jeszcze w stanie określić jego ostatecznego celu.
„[Raspberry Robin] to interesująca historia, której ostateczny profil zagrożeń nie został jeszcze określony” – powiedział Lifewire Tim Helming, ewangelista ds. bezpieczeństwa w DomainTools. „Jest zbyt wiele niewiadomych, aby nacisnąć przycisk paniki, ale jest to dobre przypomnienie, że budowanie silnych wykryć i podejmowanie zdroworozsądkowych środków bezpieczeństwa nigdy nie było ważniejsze”.
Strzelanie w ciemności
Zrozumienie ostatecznego celu złośliwego oprogramowania pomaga ocenić jego poziom ryzyka, wyjaśnił Helming.
Na przykład czasami skompromitowane urządzenia, takie jak urządzenia pamięci masowej podłączone do sieci QNAP w przypadku Raspberry Robina, są rekrutowane do botnetów na dużą skalę w celu prowadzenia kampanii rozproszonej odmowy usługi (DDoS). Lub zhakowane urządzenia mogą być używane do kopania kryptowaluty.
W obu przypadkach nie byłoby bezpośredniego zagrożenia utratą danych na zainfekowanych urządzeniach. Jeśli jednak Raspberry Robin pomaga w tworzeniu botnetu ransomware, poziom ryzyka dla każdego zainfekowanego urządzenia i sieci lokalnej, do której jest podłączony, może być bardzo wysoki, powiedział Helming.
Félix Aimé, badacz ds. analizy zagrożeń i bezpieczeństwa w firmie Sekoia, powiedział Lifewire za pośrednictwem wiadomości DM na Twitterze, że takie „luki w inteligencji” w analizie złośliwego oprogramowania nie są niespotykane w branży. Z niepokojem dodał jednak, że Raspberry Robin jest wykrywany przez kilka innych cyberbezpieczeństwa (Sekoia śledzi go jako robaka Qnap), co mówi mu, że botnet, który próbuje zbudować złośliwe oprogramowanie, jest dość duży i może zawierać „sto tysięcy”. zhakowanych hostów.”
Kluczową rzeczą w sadze Raspberry Robin dla Sai Hudy, dyrektora generalnego firmy CyberCatch zajmującej się cyberbezpieczeństwem, jest użycie dysków USB, które potajemnie instalują złośliwe oprogramowanie, które następnie tworzy trwałe połączenie z Internetem w celu pobrania innego złośliwego oprogramowania, które następnie komunikuje się z serwerami atakującego.
„Urządzenia USB są niebezpieczne i nie powinny być dozwolone” – podkreśliła dr Magda Chelly, dyrektor ds. bezpieczeństwa informacji w Responsible Cyber. „Zapewniają sposób, w jaki złośliwe oprogramowanie może łatwo rozprzestrzeniać się z jednego komputera na drugi. Dlatego tak ważne jest, aby mieć aktualne oprogramowanie zabezpieczające zainstalowane na komputerze i nigdy nie podłączać USB, któremu nie ufasz.”
W wymianie e-maili z Lifewire, Simon Hartley, CISSP i ekspert ds. cyberbezpieczeństwa z Quantinuum, powiedzieli, że dyski USB są częścią handlu, którego przeciwnicy używają do łamania tak zwanej „luki powietrznej” w systemach niepodłączonych do publicznego internet.
„Są one albo całkowicie zakazane w wrażliwych środowiskach, albo wymagają specjalnych kontroli i weryfikacji ze względu na możliwość dodawania lub usuwania danych w sposób jawny, a także wprowadzania ukrytego złośliwego oprogramowania” - powiedział Hartley.
Motyw nie jest ważny
Melissa Bischoping, specjalista ds. badań nad bezpieczeństwem punktów końcowych w firmie Tanium, powiedziała Lifewire w wiadomości e-mail, że chociaż zrozumienie motywów złośliwego oprogramowania może pomóc, badacze mają wiele możliwości analizy zachowań i artefaktów, które pozostawia złośliwe oprogramowanie, w celu stworzenia możliwości wykrywania.
„Chociaż zrozumienie motywów może być cennym narzędziem do modelowania zagrożeń i dalszych badań, brak tej inteligencji nie unieważnia wartości istniejących artefaktów i możliwości wykrywania” – wyjaśnił Bischoping.
Kumar Saurabh, dyrektor generalny i współzałożyciel LogicHub, zgodził się. Powiedział Lifewire w wiadomości e-mail, że próba zrozumienia celu lub motywów hakerów dostarcza interesujących wiadomości, ale nie jest zbyt przydatna z punktu widzenia bezpieczeństwa.
Saurabh dodał, że złośliwe oprogramowanie Raspberry Robin ma wszystkie cechy niebezpiecznego ataku, w tym zdalne wykonanie kodu, uporczywość i unikanie, co jest wystarczającym dowodem, aby uruchomić alarm i podjąć agresywne działania w celu ograniczenia jego rozprzestrzeniania się.
„Konieczne jest, aby zespoły ds. cyberbezpieczeństwa podejmowały działania, gdy tylko zauważą wczesne prekursory ataku” – podkreślił Saurabh. „Jeśli czekasz, aby zrozumieć ostateczny cel lub motywy, takie jak oprogramowanie ransomware, kradzież danych lub przerwa w świadczeniu usług, prawdopodobnie będzie za późno."
